В отчете "July 2007 - Operating System Vulnerability Scorecard (http://blogs.technet.com/security/archive/2007/08/16/july-20...)" проводится сравнение безопасности операционных систем, отталкиваясь от числа устраненных уязвимостей. В документе не принято во внимание оперативность выхода исправлений и наличие не устраненных проблем.В материале "Open Source Security, Part 2: 10 Great Apps (http://www.linuxinsider.com/rsstory/58906.html)" представлены 10 лучших, по мнению авторов рейтинга, программ имеющих отношение к безопасности: Kismet, Snort, OpenSSH, GnuPG, RKHunter, ClamAV, TrueCrypt, Bastille, IP Filter, SpamAssassin.
URL: http://blogs.technet.com/security/archive/2007/08/16/july-20...
Новость: http://www.opennet.ru/opennews/art.shtml?num=11785
> отталкиваясь от числа устраненных уязвимостейзадача:
Буратино дали 2 яблока. одно он сьел. сколько яблок осталось у Буратино?
1?
- от одного до бесконечности. не забывайте обнулять переменные.
маркетинг - дело хорошее. особенно, когда сравнение исходит из уст директора по секьюрити Майкрософтносятся со спамотсосином как курица с яйцом. в то же самое время, никто не знает про dspam.
после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнее.
раздражает только отсутствие _управляемых_ белых списков
>> после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнееВсе носятся с dspam, как петух с яйцами, а в тоже время никто не знает про KAS ;))
>Все носятся с dspam, как петух с яйцами, а в тоже время
>никто не знает про KAS ;))KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
>KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
>Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство - это уже не модно ))
>>KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
>>
>
>Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство -
>это уже не модно ))КАС удивил вот чем. мы купили лицензию на неограниченное кол-во почтовых ящиков и фильтруемых сообщений. типа более-менее крупный клиент.
на вебмайле делаем возможность своим клиентам создавать себе индивидуальные профайлы по фильтрации почты. через 2 дня обнаруживаем, что КАС способен видеть только первые 50 профайлов. результат обращения к разработчику - да, есть такой баг! спасибо, что помогли нам его найти! но фиксить мы его не (далее неразборчиво, видимо не умеем/не хотим/..)стоил для нас КАС никак не 100$
какое нахуй диссидентство, когда платишь достаточно большие деньги за программу, которая может точно то же самое, что и ее open-source аналог???
В этом и разница - она *может* ))Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток, всем все фильтруется...
>В этом и разница - она *может* ))
>
>Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток,
>всем все фильтруется...на корпоративном МТА несколько тысяч учеток. все фильтруется. но максимум 50 индивидуальных профайлов. все остальные фильтруются дефолтным профайлом. если бы решение о продлении лицензии принималось до обнаружения фичи, я бы на этот сервер поставил открытый dspam, программнул бы к нему webui, а половину разницы между бесплатным dspam и _очень_ платным для нас КАС мне бы выписали в кач-ве премии.
+1
Postgrey + KAS + bayes для почтового клиента (для перфекционизма) = szero spam, zero false pozitives :)
Postgrey = полный ПАРАЛИЧ переписки.
Неприемлемые задержки из-за fall-back серверов, находящихся в разных подсетях.
В алгоритме "бесконечное число fall-back серверов" письма через greylisting не доставляются НИКОГДА :)
То ты не умееш его готовить ;)
У меня на всех почтовиках он живет..
включаю парочку комерческих хостингов.Великолепная вещ! Причем крутится налегке к экзмиу, не говоря уже про постфикс.
крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут назад я отправил письмо!!! Где оно???"Что такое "fall-back server" вы не знаете?
И правильно! Меньше знаешь - крепче уверен.
>крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут
>назад я отправил письмо!!! Где оно???"в самом начале бывает.
>Что такое "fall-back server" вы не знаете?
знаю. Немного геморно но решается шаред базой серых списков.
+ subnetmatch для смтп-пулов. Хотя основные монстры и так прописаны перманентно.PS. на личном опыте эта технология показала плюсов на порядок больше чем минусов (на обьемах почты пока до 5к белых писем в сутки, хотя я уверен и большие обьяемы не будут проблемой).
Если ваши специфические условия неудовлетворяют использованию грейлистинга(или ваше субьективное мнение) то это не означает что это совсем плохая штука.
Привидите детальное описание проблем, и с каким обьемами вы работаете...возможно тогда ваша точка зрения будет более обьективна. Просто кричать, что это "полный паралич почты" - нелепо.
Отдыхайте.
Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
А жить будет "отсосин".
По множеству неясных вам причин :)
>Про dspam, уважаемая Буратина Алибабаевна, все знают все :)обзываться не зачем. "знают все" - совершенная false.
>А жить будет "отсосин".
>По множеству неясных вам причин :)если бы за уменее делать умное лицо людям платили деньги...
По множеству неясных вам причин :)
>Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
>А жить будет "отсосин".
>По множеству неясных вам причин :)Всем привет. Все всё оказывается знают... А я нет... Кто толково объяснит как обучать Дспам в самом начале??? Я имею ввиду - система FreeBSD 7.2 + Postfix + Clamav + Dspam 3.9.0, всё в качестве шлюза, т.е. локальной доставки нет, как и пользователей, т.е. виртуальные тока. Как мне обучать дспам чтобы обучение применялось КО ВСЕМ ПОЛЬЗОВАТЕЛЯМ! Не через WEB UI. Как через почтовые алиасы сделать, т.е. через пару ящиков: spam/notspam. На которые отправлять почту. Заранее спасибо.
P.S. Гуглил много, но толкового объяснения не нашёл...
самая безопасная ОС - виндуз ХР/виста? о_0
Нет, там просто исправили меньше дырок. 8))
+1
>самая безопасная ОС - виндуз ХР/виста? о_0согласно результатам исследования, проведенным сотрудником Майкрософт, да :)
Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных критических ошибок в серверных ОС (за 100% принимаем линух) и ~50% - в десктопных ОС. Не критические ошибки в виндах, за редким исключением, не правятся вообще.
Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично ;)
>Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически
>константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных
>критических ошибок в серверных ОС (за 100% принимаем линух) и ~50%
>- в десктопных ОС. Не критические ошибки в виндах, за редким
>исключением, не правятся вообще.
>Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично
>;)более правильные репорты тут:
Vista: http://secunia.com/product/13223/?task=statistics
Linux: http://secunia.com/product/12165/?task=statistics
XP: http://secunia.com/product/16/?task=statisticsпо сравнению с Linux да, проблем безопасности в Win находят меньше:
Vista: 12 advisores
Linux: 177 advisores
XP: 157 advisoresНо! если в Linux все они 100% фиксятся сразу после обнаружения, в Win фиксятся с задержкой или не фиксятся вообще (Vista 8% unpatched, XP 15% unpatched)
это обьективно. а статистику товарища из майкрософт я бы постеснялся вообще в первом абзаце упоминать.
Дорогие постеры новостей для opennet, в своем стремлении обкакать Linux будьте более компетентны! стыдно!
что то дядя совсем с графиками намудрил: раньше у винды было 52 у мака 54 у линуксов 58 +/- 1-2, т.е. винда в этой рекламе чуть-чуть да лучше. Как китайцы на олимпиаде от висты отказались так сразу всех обкакал зато винду превознес.С другой стороны что это за цветные столбики - не более чем некрасивые картинки.
да блин. в статье ниже:
"About jrjones
...
Gauntlet firewall; and a director in the Microsoft security group."
А чё они и OpenBSD не поставили в сровнение? =)
>А чё они и OpenBSD не поставили в сровнение? =)потому что не майнстрим
Dizinformasion Scorecard.
да фуфло это все.
посмотрите
whois technet.com
Автор такой большой гуру в данном вопросе! Поставл в один ряд Kismet, Snort, OpenSSH, GnuPG, RKHunter. Это все равно, что рассматривать в качестве чистящих средств стиральный порошек, прачку-китаянку, банку яда и заряд динамита."Имеющих отношение".... бред какой-то!
Если оупен соурс, то значит может писать всякий идиот, надо понимать.
А уж RKHunter это вообще прикладуха для пароноидальных пионеров. Если бы все такие ламаки с легкостью могли бы накладывать патчи на ядро, то в ряду "имеющих отношение"="пользующимися любовью идиотов" самое первое место занял бы grsecurity. Да вот RH с SUSE подкузьмили - напихали своих патчей по самые небалуйся, так что всякие "OWL"-ы только на ванилу и накатить... ;)
Ну и о чем эти графики говорят?
Насколько серьезно относится компания к своему продукту?ЭТО НЕ СРАВНЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ!
Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не знаю как в Vist'e, но в XP родной Firewall при старте системы запускается как Service со значительным отставанием от TCP/IP (который стартует раньше на этапе Boot). В этот промежуток времени система открыта полностью. Проверить это может каждый настроив Deny All и запустив с другой машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только значительно позже TCP/IP. Из этого следует такой совет: либо с XP ходить в Инет только через нормальные устройства или выдёргивать Path Cord перед тем как выключить или перезапустить компьютер.
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как выключить или перезапустить компьютер.Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний
http://www.microsoft.com/windowsxp/sp2/technologiesoverview....
Boot-time security
In earlier versions of Windows, there was a small window of time
between the network starting and the firewall becoming active, leaving
your computer vulnerable for that brief period time.In Service Pack 2, during startup and shutdown, the firewall driver
uses a rule called a boot-time filter to help prevent attacks during
those brief periods. Once Windows Firewall is up and running, it loads
your custom firewall settings and removes the boot-time filters. This
makes your computer less vulnerable to attacks during startup and
shutdown operations.
>Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний
>Я эти воспоминания привёл для того, чтобы продемонстрировать уровень разработок в MS в сравнении с Linux. В MS люди часто не владеют знаниями в той проблемной области для которой создают ПО. Это следствие принятой ими организации работ. Мне когда-то забавно было узнать, что созданием компонента DirectX для MS по договору занимается в качестве халтурки-подработки человек, который не первый год погружён в автоматизацию торговли. Делал это в рабочее время тайком от работодателя, совмещая программирование в 1C с попытками вгрузить в себя хоть какие-нибудь знания по 3D и изучая новую версию Visual Studio.
Можно предполагать, что Firewall для XP SP1 создавался такими же пионерами.
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как выключить или перезапустить компьютер.может путаете с SP1? там да такое дело было, при удачном стечении обстоятельств запросто можео было схватить бластер
с SP2 такого не наблюдал
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как выключить или перезапустить компьютер.А еще.... Еще.... Еще Билли Гейтс - пидар. :)
Дело в том, что вы поступили точно так же, как и составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить и пустить в инет, то ее не ломанут в течении недели? :)
Винда самая популярная на планете ось, хотим мы этого или нет, но так и будет. Тот, кто настолько дебил, что пользует встроенный fw - дебил в кубе. Все остальные fw стопят траффик до момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте розовые очки.
> А еще.... Еще.... Еще Билли Гейтс - пидар. :)false :)
> Винда самая популярная на планете ось, хотим мы этого или нет,
>но так и будет.false! у меня лично большие сомнения в радужном будущем Винды. и у Гейтса, кстати, тоже.
> Тот, кто настолько дебил, что пользует встроенный
>fw - дебил в кубе. Все остальные fw стопят траффик до
>момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
>розовые очки.опять работа руками? нах? я в линуксе ничего не настраиваю руками, выхожу в инет, встроенный файерволл грамотно денаит левый трафик и все оч комфортно. не люблю монотонную ручную работу.
> Дело в том, что вы поступили точно так же, как и
>составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить
>и пустить в инет, то ее не ломанут в течении недели?Такие глупости и детские ошибки, которые встречаются в Windows, нигде больше не видел.
>:)
> Винда самая популярная на планете ось, хотим мы этого или нет,
>но так и будет. Тот, кто настолько дебил, что пользует встроенный
>fw - дебил в кубе. Все остальные fw стопят траффик до
>момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
>розовые очки.Засунуть в ОС функцию, которая создаёт иллюзию работы это стиль Microsoft.
Встроенный или нет - не имеет значения. Для фильтрации IP там есть три метода: фильтры в стеке (требуют перезапуска ОС для внесения изменений), Service IPSec и RAS API. Все виденные мною "супер-пупер" Firewall'ы используют RAS API. Других способов, кроме как написать свой стек, в этой ОС разработчиками не предусмотрено. Через RAS API работает и встроенный Firewall Windows XP и поэтому одна фигня. Так что розовые очки надеты на вас.
Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их так нагло обманывают.
>Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их
>так нагло обманывают.Золотые слова! +10
А с чего это Фрю ломанут? Дефолтно в файерволе вроде как deny, уязвимостей в фаерволах - единицы (последнее что вспомнил - scrub в pf). Если ничего не настраивать, то снаружи все порты закрыты. Вперед, ломайте...
>Думаете, что если взять фрю, нифига не настроить
>и пустить в инет, то ее не ломанут в течении недели?
>:)Что там ломать? в сеть ничего не смотрит, ни одного порта не открыто.