Реклама на сайте Advertise with us

HqHost отзывы ?

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 28.03.02
Сообщения: 813
Рейтинг: 687

Ссылка на сообщениеДобавлено: 04/08/09 в 16:04       Ответить с цитатойцитата 

1. Да, безопасность того что снаружи. И понятно что безопасность клиентских
данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже
имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не
перезагружать ее в rescue image в случае взлома внутри chroot-а.

2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные.
И копировать директорию проще, чем клонировать диск 1:1. И не вижу чем
варинт с переносом chroot окружения принципиально хуже клонирования дисков.

3. Достоинства все-таки есть, хоть и небольшие. Но и неудобства тоже
минимальны. Настроить df внтури chroot-а не сложно. HOWTO не читали,
с grsecurity работаем давно, использовали в разных конфигурациях.

4. Да, способов выйти из chroot окружения достаточно. Я не знаю про какой
сервер вы пишите (если не сложна укажите Ваш логин в нашей системе), возможно там временно ослабляли ограничения grsecurity
на chroot для каких-то целей, можно попробовать работу эксплоита с полностью
включенными ограничениями.

HQHost.net - мы с вами 20 лет!!!

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 04/08/09 в 17:23       Ответить с цитатойцитата 

Насколько я понимаю если юид 0 то выйти из под чего угодно можно.
chroot - это от случайного удаления корня. По крайней мере хоть удалённо можно будет зайти и перезалить всё.

0
 

Чингачгук, вождь красноглазых

С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824

Ссылка на сообщениеДобавлено: 04/08/09 в 17:27       Ответить с цитатойцитата 

Tornado писал:
1. Да, безопасность того что снаружи. И понятно что безопасность клиентских
данных должна обеспечиваться отдельно. Но безопасность того, что снаружи тоже
имеет смысл. Хотя бы, чтобы оперативно получить доступ к системе, а не
перезагружать ее в rescue image в случае взлома внутри chroot-а.


Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены, что никуда хакер из chroot не вышел...
Браво.

Если систему взломали, то это означает полную переустановку всего, до голого железа. Точка. Иначе это просто херня полная.

Tornado писал:

2. Если апгрейдится и диск (что бывает часто), то нужно копировать данные.
И копировать директорию проще, чем клонировать диск 1:1.


на линухе копирование диска делается через cp -a /oldroot /newroot
потом chroot /newroot /bin/bash

grub

все
...ладно, это даже скучно.

Tornado писал:

возможно там временно ослабляли ограничения grsecurity


no comments...

0
 



С нами с 28.03.02
Сообщения: 813
Рейтинг: 687

Ссылка на сообщениеДобавлено: 04/08/09 в 22:26       Ответить с цитатойцитата 

> Ага. И вы вот так вот оставите как есть взломанную систему, будучи уверены,
> что никуда хакер из chroot не вышел...
> Браво.
Зачем сразу такие категорические предположения? Естественно мы будем выяснять что произошло с системой в результате взлома.

> Если систему взломали, то это означает полную переустановку всего, до голого
> железа. Точка. Иначе это просто херня полная.
Для начала нужно разобраться куда именно получили доступ взомщики. Или если украли трояном пароль от FTP аккаунта тоже нужно переставлять все?

> на линухе копирование диска делается через cp -a /oldroot /newroot
> потом chroot /newroot /bin/bash
> grub
Это с физическим движением дисков. Когда проще и быстрее обойтись без него и скопировать удаленно. Про rsync нам известно, на всякий случай.

> no comments...
Мы нигде не говорили что chroot это идеальная защита, обеспечивающая
полную безопасность. Мы ни в коем случае не рассчитываем на непробиваемость этого решения. Основая идея - это именно удобство администрирования для нас, при перемещении системы между физическими серверами. А защита - это просто еще один уровень безопасности, который не мешает, но когда-то может и помочь.

HQHost.net - мы с вами 20 лет!!!

0
 



С нами с 28.03.02
Сообщения: 813
Рейтинг: 687

Ссылка на сообщениеДобавлено: 04/08/09 в 22:28       Ответить с цитатойцитата 

и вообще по техническим вопросам организации работы можно спорить много и долго и у каждого будет своя правда.

HQHost.net - мы с вами 20 лет!!!

0
 
+ +
www.b52hosting.com Хостинг

С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147

Ссылка на сообщениеДобавлено: 04/08/09 в 23:50       Ответить с цитатойцитата 

Tornado писал:
Система действительно chrooted, плюс chroot усилен при помощи grsecurity.


Можете в двух словах объяснить что именно дает этот grsecurity ?

Хостинг 100Gb трафа за 5$ в месяц для порно сайтов WMZ Hosting Adult Сидж CJ

0
 

Чингачгук, вождь красноглазых

С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824

Ссылка на сообщениеДобавлено: 05/08/09 в 00:39       Ответить с цитатойцитата 

dlk44 писал:
Можете в двух словах объяснить что именно дает этот grsecurity ?


тому, кто даже гуглом не в состоянии воспользоваться - ничего

0
 

саблезубый кролик

С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993

Ссылка на сообщениеДобавлено: 05/08/09 в 01:14       Ответить с цитатойцитата 

Dr.Syshalt: там главная проблема не гугл а голова smail101.gif

.

0
 



С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950


Передовик Master-X (01.01.2008)
Ссылка на сообщениеДобавлено: 05/08/09 в 09:20       Ответить с цитатойцитата 

grsecurity никому ничего не даёт. Разве что для самоуспокоения.

0
 

Чингачгук, вождь красноглазых

С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824

Ссылка на сообщениеДобавлено: 05/08/09 в 15:01       Ответить с цитатойцитата 



Оно дает, просто надо понимать, для чего, как и когда. Если бы ребята не занимались ерундой, то могли бы отключить chroot внутри chroot и я бы не вылез наружу так легко ;) Но они не могут этого сделать - потому как внутри chroot должны запускаться такие штуки, как bind - а ему самому chroot нужен (ну или надо быть совсем плохим на голову, чтобы его без chroot запускать, слава богу не додумались). Любой ftp-сервер тоже chroot'ит клиентов, как правило. Вот как раз для того, чтобы заchroot'ить приложения отдельные - вот для этого grsecurity как раз очень хорошо подходит - чтобы влом ftp-сервера не приводил к тому, что отымели всю систему. Но для того, чтобы jail'ить VPSы (ну или как в этом случае - клиентские системы, организованные подобным образом) - он не подходит. Почему я так и прицепился, что никакой дополнительной безопасности это не дает. Напротив, побочные эффекты (к примеру, одна файловая система на клиента, а не разбитая, как полагается, на /var /tmp и пр) как раз напротив - ухудшает и безопасность, и производительность. Сделали это явно для армейского единообразия - и дедики, и VPSы все одинаково устроены, проще перетаскивать и т.д. - а вовсе не из какой-то заботы о клиенте.

0
 



С нами с 30.03.09
Сообщения: 86
Рейтинг: 74

Ссылка на сообщениеДобавлено: 05/08/09 в 15:21       Ответить с цитатойцитата 

в hqhost что, есть vps? icon_surprised.gif

0
 
+ +
www.b52hosting.com Хостинг

С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147

Ссылка на сообщениеДобавлено: 10/08/09 в 19:06       Ответить с цитатойцитата 

Dr.Syshalt писал:
тому, кто даже гуглом не в состоянии воспользоваться - ничего


Одно дело Гугл, а совсем длугое - отзыв человека с заранее известным уровнем квалификации.

Хостинг 100Gb трафа за 5$ в месяц для порно сайтов WMZ Hosting Adult Сидж CJ

0
 



С нами с 28.03.14
Сообщения: 6
Рейтинг: -22

Ссылка на сообщениеДобавлено: 30/03/14 в 02:19       Ответить с цитатойцитата 

Ничего не могу сказать хорошего или плохого об этом хостинге и об их ценах, но саппорт очень странный.

-5
 



С нами с 08.08.08
Сообщения: 145
Рейтинг: 91

Ссылка на сообщениеДобавлено: 30/03/14 в 12:38       Ответить с цитатойцитата 

AlbertShv, и нафига ты такой пыльный топик поднял? Чтобы рассказать про странный саппорт?

Зарабатываем в Рунете на CPA офферах!
Никаких SMS разводов, только реальные товары и услуги!

-1
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »