|
|
|
СЪВЕТИ
|
Смяна на банери на Интернет приложения
|
|
|
|
|
|
от Vladsun(24-10-2006)
рейтинг (17)
[ добре ]
[ зле ]
Вариант за отпечатване 1. Увод
В Интернет може да намерите достатъчно сайтове посветени на пробивите в сигурността на различни web-приложения и техните версии. Много от хакерските атаки започват именно с разгадаването на продукта и версията, която използвате за определена web-услуга на сървера Ви. Също така някои от script-kiddies атаките започват с такава проверка.
След като определи продукта и версията на приложението атакуващият най-често търси в специализираните сайтове дали съществуват пробиви за съответното приложение и преценява дали атаката му ще има резултат.
Един от най-лесните методи за определяне на продукта и неговата версия е чрез така наречените "банери", които изпращат самите приложения. Всеки от Вас е виждал под съобщението за грешка 404 информация от вида на "Apache/1.3.31 Server at XXX.XXX.XXX.XXX Port 80", а в някои случаи и по-подробно.
Настоящата статия има за цел да покаже как да отстраним или променим тези банери с цел повишаване на сигурността.
2. Решения за някои web-приложения
2.1. Apache
Най-лесната операция в случая е да промените/добавите директивите в конфигурационния файл httpd.conf по следния начин:
ServerSignature Off
ServerTokens ProductOnly
Това ще доведе до скриване на информацията за версията на Apache и инсталираните модули към него, но няма да скрие името на продукта (Apache).
Вторият, но по-труден вариант е да промените сорса на Apache преди да го компилирате. Отворете include/httpd.h и променете:
#define SERVER_BASEVENDOR "Apache Group"
#define SERVER_BASEPRODUCT "Apache"
#define SERVER_BASEREVISION ""
Примерно на (BASEVENDOR: Microsoft, BASEPRODUCT: Microsoft-IIS, BASEREVISION: 5.0).
2.2. PHP
За PHP4, Apache редактирайте php.ini, като промените директивата:
ExposePHP off
2.3. ProFTPd
Отворете в директорията, където сте разархивирали пакета, src/main.c и потърсете за:
if((id = find_config(server->conf,CONF_PARAM,"ServerIdent",FALSE))
Коментирайте (/* if-блок */) целия if-блок и добавете под него следния ред:
send_response("220", "%s", server->ServerName);
Прекомпилирайте proftpd. След това редактирайте proftpd.conf и променете "ServerName" примерно на "Microsoft FTP Service (Version 5.0).".
2.4. OpenSSH
Отворете в директорията, където сте разархивирали пакета version.h и променете реда:
#define SSH_VERSION "OpenSSH_4.1"
Прекомпилирайте.
2.5. Postfix
Редактирайте main.cf, като търсите за smtpd_banner. В случая, обаче съшествува един проблем - ако искате да представите се представите за Microsoft’s ESMTP - този сървер връща текущата дата, докато Postfix не. За да отстраните този проблем, редактирайте /src/smtpd/smtpd.c и потърсете реда:
smtpd_chat_reply(state, "220 %s", var_smtpd_banner);
Сменете го с тези два реда:
state->time = time((time_t *) 0);
smtpd_chat_reply(state, "220 %s ready at %s", var_smtpd_banner, mail_date(state->time));
Прекомпилирайте, редактирайте main.cf с "Microsoft ESMTP MAIL Service, Version: 5.0.2195.5329" и сте готови.
2.6. Sendmail
Отворете /etc/mail/sendmail.cf и променете следния ред:
O SmtpGreetingMessage=$j Sendmail $v/$Z; $b
на
O SmtpGreetingMessage=OpenSMTP 2.1.1;
или нещо по Ваш избор.
2.7. Qmail
Доколкото ми е известно Qmail не подава банери при опит за връзка.
2.8. Bind
Редактирайте named.conf, като промените/добавите примерно:
....
options {
version "smallDNS 2.1";
.....
3. Заключение
В статията бях дадени начини за промяна на банерите подавани от някои от най-често използваните web-приложения. Тази промяна, като цяло, води до повишаване на сигурността на цялата система. В повечето от случаите дори и nmap дава невярна информация за стартираните приложения.
Все пак, не трябва да се разчита много на постигнатата по този начин сигурност. Изградете си добри защитни стени, следете за обновявания на използваните от Вас приложения, както и за новооткритите пробиви в тях.
4. Използвани материали
[1] http://projects.vanscherpenseel.nl/documents/howto_banners.html
[2] http://bulhack.org/educ/secure/bannersfaking.pdf
<< Как да използваме Linux-BG като RHSBL | Vodafone Mobile Connect под Линукс >>
|
|
|
|
|
не-така :| От: лонг джон На: 23-10-2006@21:03 GMT+2 Оценка: 1/Неутрален"Настоящата статия има за цел да покаже как да отстраним или променим тези банери с цел повишаване на сигурността."
Т.е. променяйки стринг с версията на daemon-a, той е вече с повишена сигурност. Или т.нар. "Сигурност чрез заблуда".
Да, ама друг път. Глуповато твърдение или схващане. Няма смисъл да се огласяват на всеослушание версиите на дадени услуги, но избягвайки го, те изобщо не стават по-сигурни.
[Отговори на този коментар]
Към: не-така :| От: Vladsun <vsmin (a) mail__dot__bg> На: 24-10-2006@7:31 GMT+2 Оценка: 1/Неутрален1. Не ми вади думите от контекста!
2.
"... Няма смисъл да се огласяват на всеослушание версиите на дадени услуги, но избягвайки го, те изобщо не стават по-сигурни. ..."
И с'а кажи как едновременно "няма смисъл да..." и "изобщо не стават по-сигурни..." са изпълнени?
[Отговори на този коментар]
Към: Към: не-така :| От: лонг джон На: 24-10-2006@9:08 GMT+2 Оценка: 1/НеутраленКое точно не разбра? "Избягвайки го" - т.е. избягвайки това да се огласят версиите им. Много е труден този български, а?
[Отговори на този коментар] Към: Към: Към: не-така :| От: Vladsun <vsmin __@__ mail__dot__bg> На: 24-10-2006@10:40 GMT+2 Оценка: 1/НеутраленЕ, хубаво, де!
Обоснови се малко!
"... Няма смисъл да се огласяват на всеослушание версиите на дадени услуги ..." - защо няма смисъл? Какво искаш да кажеш?
"...но избягвайки го, те изобщо не стават по-сигурни."
ако успея да "излъжа" и един единствен script-kiddies СЪМ направил системата по-сигурна, нали?
[Отговори на този коментар] Към: Към: Към: Към: не-така :| От: лонг джон На: 24-10-2006@11:10 GMT+2 Оценка: 1/НеутраленНе.. :) Дори и да е привидно, пак не. Рискът не е променен, защото някой друг няма да можеш да заблудиш. Сигурността не е резултат от заблуди, а процес на ежеминутна системна администрация. Криенето на тези версии единствено затруднява този които се опитва да пробие системата, но не осигурява допълнителна сигурност.
А и както се спомена вече обявената или небявената версия на услугата не е единственият критерий по който тя може да бъде идентифицирана.
Но дори да си убеден, че това е така, системата ти е станала с 1/n по сигурна от преди в процентно отношение, където n е броят на пишман взломаджиите. По общи данни n е доста голямо число..което се увеличава.
[Отговори на този коментар] ^Z От: Vladsun <vsmin (a) mail[ точка ]bg> На: 25-10-2006@23:02 GMT+2 Оценка: 1/НеутраленВсъщност е m/n, но нито ти, нито аз, нито който и да е, имаме престава колко точно е m или n. И още нещо - прочети си дефиницията за процент :P (като си говорим за трудностите на българския език).
"...Рискът не е променен, защото някой друг няма да можеш да заблудиш..."
И също така някой друг може да ме хакне с 0-day-exploit...
"...Сигурността не е резултат от заблуди, а процес на ежеминутна системна администрация..."
Съгласен съм и съм го подчертал в статията, нали? Хм, ежеминутна ... :)
"...Криенето на тези версии единствено затруднява този които се опитва да пробие системата, но не осигурява допълнителна сигурност..."
Всяко затруднение дава допълнителна сигурност. В тази графа влизат например port-scan-detection, смяна на стандартен порт с нестандартен и т.н., и т.н. Все неща, които за теб са безмислени, но много хора ги използват и за тях не са. То по тази логика защо да ползваме криптиране, като всяко криптиране към момента може да се разбие (само дето не се знае за колко време) - и това ли влиза в графата "мнима защита".
Интересно - в по-старите версии на phpBB имаше изписана версията и всеки можеше да я види, а сега я няма ;).
^Z
[Отговори на този коментар] Към: ^Z От: лонг джон На: 26-10-2006@7:18 GMT+2 Оценка: 1/Неутрален> Всъщност е m/n, но нито ти, нито аз, нито който и да е, имаме престава колко точно е m или n. И още нещо - прочети си дефиницията за процент :P (като си говорим за трудностите на българския език).
Не исках да ти кажа нещата по този начин, но очевидно се налага. Освен, че това което си преписал 1:1 и си нарекъл статия с ползвани ресурси всява тотално погрешна представа за
сигурно изпълнение, нямаш и елементарни познания по математика. По този начин откровено не можеш да убедиш и най-несериозните хора тук, че написаното има някаква тежест.
Съвсем правилно написах 1/n. Ето защо: ако имаш 5 ябълки и изядеш едната, общият им начален брой е намален с 1/5 (една пета) (умножаваш по 100 за имаш процентно отношение) = 20 % (1 ябълка)
Ако това не е достатъчно чети тук: http://en.wikipedia.org/wiki/Percentage
> Всяко затруднение дава допълнителна сигурност. В тази графа влизат например port-scan-detection, смяна на стандартен порт с нестандартен и т.н., и т.н. Все неща, които за теб са безмислени, но много хора ги използват и за тях не са.
Как да го кажа по така фино - този свят е така устоен, че по-малкото хора правят по-умните неща. Всяко затруднение
печели време, не дава нищо друго. Разгледай общоприетите представи и термини за компютърна сигурност и потърси къде се споменава това което давало допълнителна такава. http://en.wikipedia.org/wiki/Computer_s...
> То по тази логика защо да ползваме криптиране, като всяко криптиране към момента може да се разбие (само дето не
се знае за колко време) - и това ли влиза в графата "мнима защита".
Нека не спекулираме с псевдо логики излишно какво можело и какво не. Криптирането до определени нива може да се преодолее и в момента от малък брой машини, а след това се говори отново за време в десетки, стотици, хиляди и т.н. години. Криптирането е нещо достатъчно комплексно, което не разбираш, така че няма смисъл да продължа тук.
> Интересно - в по-старите версии на phpBB имаше изписана версията и всеки можеше да я види, а сега я няма ;).
За мен не е интересно, така винаги когато излизат нови дупки в този форум, взломаджиите няма да разчитат на версия, а на директен опит.
> ^Z
Смях.
[Отговори на този коментар] Към: Към: ^Z От: Vladsun <vsmin __@__ mail __точка__ bg> На: 26-10-2006@9:47 GMT+2 Оценка: 1/Неутрален"...Не исках да ти кажа нещата по този начин, но очевидно се налага. Освен, че това което си преписал 1:1 и си нарекъл статия с ползвани ресурси всява тотално погрешна представа за ..."
Цитирал съм материалите, направил съм им компилация - то е ясно. Не мога да разбера в какво ме обвиняваш.
"... (умножаваш по 100 за имаш процентно отношение) = 20 % ..."
Ей заради този пропуск, проверяващите *математици* в Английската гимназия ми взеха 0.5 от оценката на КГИ. :)
"...Всяко затруднение дава допълнителна сигурност. В тази графа влизат например port-scan-detection, смяна на стандартен порт с нестандартен и т.н., и т.н. Все неща, които за теб са безмислени, но много хора ги използват и за тях не са. То по тази логика защо да ползваме криптиране, като всяко криптиране към момента може да се разбие (само дето не се знае за колко време) - и това ли влиза в графата "мнима защита". ..."
Във всичките ти коментари отговаряш на което ти е удобно.
ПП:
/офф
Много мислих по една друга тема и се сетих за теб: нуждая се от твоята помощ в областта на математиката :) - трябва да направя алгоритъм за FCHT (Fast Complex Hadamard Transform), т.е. трябва тръгвайки от базисната комплексна матрица на Адамар да намеря такъв граф, който да сведе до минимум итерациите и умноженията за трансформацията :)
Пък ... ако не успееме - ела в сряда в Кривото да те черпя една бира :)
peace
Редактиран на: 27-10-2006@0:01
[Отговори на този коментар]
Заглавие??? От: BlackByte <bbyte__at__mail__dot__bg> На: 24-10-2006@6:41 GMT+2 Оценка: 1/НеутраленАз ли съм тъп или заглавието нещо не отговаря на статията :)
[Отговори на този коментар]
Към: Заглавие??? От: Hapkoc <sasoiliev< at >mamul< dot >org> На: 24-10-2006@6:47 GMT+2 Оценка: 1/НеутраленОтговаря си, просто има две неща, които се разбират под "banner" и едното е по-широко известно.
[Отговори на този коментар]
Към: Към: Заглавие??? От: BlackByte <bbyte __@__ mail[ точка ]bg> На: 24-10-2006@7:49 GMT+2 Оценка: 1/НеутраленПо скоро имах в предвид WEB - OpenSSH,qmail и т.н. определено не са web по мойте скромни познания :)
[Отговори на този коментар] Към: Към: Заглавие??? От: borj На: 24-10-2006@8:01 GMT+2 Оценка: 1/Неутралени кое от OpenSSH, Sendmail, Postfix, ProFTPD е web приложение?
[Отговори на този коментар] Към: Към: Заглавие??? От: Vladsun <vsmin< at >mail[ точка ]bg> На: 24-10-2006@8:53 GMT+2 Оценка: 1/НеутраленПрави сте. Сменям заглавието.
[Отговори на този коментар] Към: Към: Към: Заглавие??? От: Hapkoc <sasoiliev (a) mamul__dot__org> На: 24-10-2006@8:15 GMT+2 Оценка: 1/НеутраленМда, тук си прав. :)
[Отговори на този коментар]
Това не е никаква защита От: Георги Сотиров <gdsotirov __@__ dir< dot >bg> На: 24-10-2006@8:06 GMT+2 Оценка: 1/НеутраленВъобще не мисля, че смяната на банера или пълното му премахване са някакъв род защита. Това може да заблуди само лековерните. Останлите ще опитат пък каквото exploit покаже :-)
Още повече, някои от смените изискват прекомпилация, която според мен отнема време и е неподходяща за тези които инсталират от пакети освен ако не си ги правят сами.
Какъв е смисъла например да обявяваш OpenSSH 4.1, като е ясно, че повечето сървъри ще са с последната стабилна версия +/- един patch level?
Редактиран на: 24-10-2006@8:12
[Отговори на този коментар]
Към: Това не е никаква защита От: Vladsun <vsmin__at__mail[ точка ]bg> На: 24-10-2006@8:19 GMT+2 Оценка: 1/НеутраленКолко мейл-сървера знаеш?
Колко версии има всеки един от тях?
Колко са откритите пробиви за всяка комбинация от горните?
"...пък каквото exploit покаже..." ;)
"... Какъв е смисъла например да обявяваш OpenSSH 4.1 ..." - не съм написал такова нещо, по-скоро бих променил на "OpenSSH 3.14" или "OpenSSH 2.78" :)
Колкото по-малко помагаш на атакуващия, толкова повече му пречиш, нали?
Редактиран на: 24-10-2006@10:00
[Отговори на този коментар]
Към: Към: Това не е никаква защита От: Георги Сотиров <gdsotirov (a) dir __точка__ bg> На: 24-10-2006@13:08 GMT+2 Оценка: 1/Неутрален"Колко мейл-сървера знаеш? "
sendmail, qmail, postfix...
"Колко версии има всеки един от тях?"
Не е важно колко версии има, а колко са версиите в употреба. Не мисля, че броят е голям тъй като всеки себеуважаващ се администратор не би оставил стара версия с окрити дупки в сигурността.
""... Какъв е смисъла например да обявяваш OpenSSH 4.1 ..." - не съм написал такова нещо, по-скоро бих променил на "OpenSSH 3.14" или "OpenSSH 2.78" :) "
Примера ти в 2.4 OpenSSH беше такъв, ясно е че можеш да си сложиш каквото си поискаш дори OpenSSH 666, но какъв е смисъла!?
Не мисля, че по-този начин пречиш на атакуващия... просто му предоставящ по-малко или лъжлива информация и това по никакъв начин няма да му попречи да те атакува. Най-големите опити за пробиви според мен стават след обявяването на някои exploit - тогава и куцо и сакато тръгва да експлоатира където и както свари. Нали не си представяш някой да се опитва в днешно време да пуска експлоит за sendmail 5.6?
Редактиран на: 24-10-2006@13:14
[Отговори на този коментар]
нивото От: daf На: 24-10-2006@8:19 GMT+2 Оценка: 1/Неутраленкой казваше, че нивото на този сайт е ниско? :-) по-
безполезна и безсмислена статия не бях виждал тук (но
може и да има)
[Отговори на този коментар]
Към: нивото От: Мирчо Мирев <mircho (a) linux-bg[ точка ]org> На: 24-10-2006@8:45 GMT+2 Оценка: 1/НеутраленИнтересно какво ли е нивото на другите сайтове, след като четеш този?
[Отговори на този коментар]
Питане от любопитство От: Vladsun <vsmin __@__ mail[ точка ]bg> На: 24-10-2006@8:58 GMT+2 Оценка: 1/НеутраленАйде, преди да давате такива отрицателни оценки ми напишете първо как бихте атакували даден хост? Подчертавам определен хост, а не да си правите скенери за определен пробив и да сканирате цели мрежи.
[Отговори на този коментар]
Към: Питане от любопитство От: BlackByte <bbyte__at__mail< dot >bg> На: 24-10-2006@9:37 GMT+2 Оценка: 1/НеутраленАз съм съгласен с тебе донякъде... по принцип този вид защита е малко безмислена защото:
1. Какъв е смисъла да защитаваш apache да се вижда като IIS като хостваш файлове с .php примерно... а като знаеш че е PHP то ще пробваш всичко което може
2. postfix го правим на sendmail примерно ... и? те 2та толкова се различават по стринговете че един телнет на порт 25 веднага ще ми покаже че е postfix по начина по който отговаря на командите.
и т.н. .. мързи ме да пиша още примери :)
имах идея едно време да се гавря да правя Linux да изглежда като FreeBSD примерно... :)
[Отговори на този коментар]
Към: Към: Питане от любопитство От: Vladsun <vsmin __@__ mail< dot >bg> На: 24-10-2006@10:12 GMT+2 Оценка: 1/Неутраленне съм голям разбирач на IIS, но
http://www.php.net/manual/en/install.wi...
- т.е. ако те "излъжа", че е IIS, наличието на PHP с нищо не променя мнението ти, нали?
Със същия успех бих могъл вместо .php да използвам и .asp разширения за PHP файлове :)
И няма ли да ползваш първо nmap, а не telnet?
Редактиран на: 24-10-2006@11:03
[Отговори на този коментар] Към: Към: Към: Питане от любопитство От: BlackByte <bbyte< at >mail __точка__ bg> На: 24-10-2006@12:55 GMT+2 Оценка: 1/Неутраленкакто казах ме мързи да пиша :) да може но да ти кажа 90% от случайте php се използва с Apache и MySQL ... от тука следва че ако се прави на IIS от тука веднага правиш един fingerprint на ОСа и ако е Linux ... :) Макар че някой може под FreeBSD да е пуснал IIS с php под Wine който е компилиран за Linux :)
а относно nmap - едно време нямаше nmap и ми е останал навика за telnet :) макар че nmap ако не го настроиш както трябва да сканира и отсреща е пуснат portscan detector то админ-а ще му пропищи главата от това че някой се гаври с машината :) като се атакува машина не се пие кафе а успокоително :) (например диеазепам :Р 2 опаковки :Р )
[Отговори на този коментар]
Интересно ... От: Vladsun <vsmin< at >mail[ точка ]bg> На: 24-10-2006@11:19 GMT+2 Оценка: 1/Неутрален ... хамелеоните как ги има като вид още ?!?
;)
peace
[Отговори на този коментар] Дали няма да спре първите? От: CTEHATA <CTEHATANOSPAM (a) bulgaria[ точка ]com[ точка ]NOSPAM> На: 24-10-2006@12:52 GMT+2 Оценка: 1/Неутрален Че сигурността, ако хоста е взет на сериозен прицел не се увеличава, мисля че е ясно.
Чудя се обаче - има случаи, някой да публикува новина за уязвимоста,заедно с примерен експлойт за нея, ПРЕДИ да излезе поправка за засегнатата услуга. Та в тези случаи, ако поредния SC пусне сканиране на мрежи, ориентирайки се по банера (за по-бързо), може и да ни "пропусне". Това би могло да ни даде време да научим за проблема и да приложим някакъв workaround.
[Отговори на този коментар]
Към: Дали няма да спре първите? От: BlackByte <bbyte< at >mail__dot__bg> На: 24-10-2006@13:02 GMT+2 Оценка: 1/Неутраленscript kiddies :) трябва да ти кажа че в логовете на apache-a ми има огромно количество заявки които са опити за IIS най вече и други бози които работят под win :) какво като пише че е Apache с точната версия и модули и т.н.? логично че нищо от тези няма да работи но на кой му пука? да пробваме пък ако стане :)
[Отговори на този коментар]
Към: Към: Дали няма да спре първите? От: Георги Сотиров <gdsotirov (a) dir__dot__bg> На: 24-10-2006@13:19 GMT+2 Оценка: 1/НеутраленТочно това ми е мисълта и на мен. Никой няма да губи време да проверява дали услугата е определена версия - просто ще се опита да атакува колкото се може повече машини.
[Отговори на този коментар] Към: Към: Дали няма да спре първите? От: CTEHATA <CTEHATANOSPAM (a) bulgaria< dot >com< dot >NOSPAM> На: 24-10-2006@18:38 GMT+2 Оценка: 1/Неутрален За IIS и аз имам, то там вирусите са голяма напаст.
Иначе май си прав. По-лесно е просто да пробваш експлойта, отколкото да гледаш банери.
Все пак, ако наякой ползва google за да търси хостове с някакъв низ в банера - ще ни пропусне. Но така или иначе, това е много специфичен вариант.
За мен най-важното е съотношението затруднения за мен/затруднения за кракера. Някои от вариантите за смяна на банера са изкушаващо лесни ...
[Отговори на този коментар]
^Z От: Vladsun <vsmin< at >mail __точка__ bg> На: 24-10-2006@15:36 GMT+2 Оценка: 1/Неутрален"...ако успея да "излъжа" и един единствен script-kiddies СЪМ направил системата по-сигурна, нали?"
На цената на какви усилия (особено тези с конф файловете)?!?!?
^Z
[Отговори на този коментар] Бла бла бла... От: gat3way <mrangelov< at >globul< dot >bg> На: 26-10-2006@12:59 GMT+2 Оценка: 1/НеутраленКоментарите са глупави. Вместо да си бяхте хабили времето да пишете глупости да бяхте измили чиниите или да бяхте пуснали една прахосмукачка вкъщи щеше да е по-добре.
Доколкото е спорна ползата от смяна на банерите ,тя определено не може да се сравнява с ползата от тъпите спорове, която е доказано нулева.
Айде със здраве...и да живее домашната хигиена :)
[Отговори на този коментар]
Към: Бла бла бла... От: блах На: 27-10-2006@9:12 GMT+2 Оценка: 1/НеутраленНе всички коментари са глупави, твоят е пример за това. Личи си у вас кой пуска прахосмукачката и кой мие чиниите.
[Отговори на този коментар] Към: Бла бла бла... От: Георги Сотиров <gdsotirov__at__dir__dot__bg> На: 27-10-2006@13:12 GMT+2 Оценка: 1/НеутраленЯсно, а твоя коментар е просто гениален! Ако искаш да кажеш нещо го кажи и не мрънкай.
[Отговори на този коментар]
Към: Към: Бла бла бла... От: gat3way <mrangelov< at >globul__dot__bg> На: 28-10-2006@11:15 GMT+2 Оценка: 1/НеутраленКакво да кажа така че да го чуеш и да не го възприемеш като мрънкане...искаш да се запиша с микрофона как чистя апартамента и да го ъплоуд-на някъде?
Ще бъде на място предполагам, имайки предвид досегашното мрънкане на тема: добра стратегия ли е "security thru obscurity"?
Добре, айде ще кажа какво мисля наистина. Аз лично не практикувам смяната на банери. Не мисля че е лоша идея иначе. След като не пречи на функционалността и производителността, значи не е проблем. Доколко успешно спрямо разни хахорски скриптове зависи единствено от това как са написани и доколко си парсват върнатия банер и го вземат предвид. Според мен ползата от гледна точка на секюритито не е огромна, но както е писал автора на статията и един малоумник да откажеш така значи е имало смисъл.
Не съм съгласен обаче да променям #define-s в сорсовете и да прекомпилирам, предпочитам удобствата на бинарните пакети.
Смяната на банерите е тъпа идея единствено ако трябва да разчиташ само на това. Обаче всеки знае че сигурността си включва съответните политики, пазене на логове, пакетно филтриране, acl политики наложени от LSM като SELinux, правилни позволения, влан изолация, слой2 сигурност (ака port security, etc).
Сигурността е далеч по-сложна тема.
Според мен тези дето (не мрънкат :) ) критикуват смяната на банерите изхождат от идеята че това е единствената мярка, която се взема, което е тъпо. Критиките им (мрънкането им) звучат идиотско.
Дам.
[Отговори на този коментар]
re От: Д.Я <bladenet __@__ abv[ точка ]bg> На: 27-12-2006@10:38 GMT+2 Оценка: 1/НеутраленХайде стига с тая българщина бе пичове, човека се е потрудил поне, а вие само критикувате. Преценете си сами кое е добро за вашата система. Лично аз ползвам този метод от няколко години, главно заради постоянните scan-ове. Поради същата причина повечето от вас сменят порта на sshd.
[Отговори на този коментар]
|
|
|
|
|
|
|
|