Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.222.37.169] |
|
Страницы: (251) 1 [2] 3 4 ... 250 251 ( Перейти к последнему сообщению ) |
Сообщ.
#16
,
|
|
|
EXTIF=eth0 # Это интерфейс в "Сеть". IPT=/usr/sbin/iptables # Здесь живут iptables if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies fi echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP $IPT -F $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i $EXT_IF -p all -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -o $EXT_IF -j ACCEPT # Я знаю, я извращенец... И SSH (входящий) у меня на порту ICQ. Так проще, чем отлавливать в логах попытки перебора... $IPT -A INPUT -i $EXT_IF -p tcp --destination-port 5190 --syn -m state --state NEW -j ACCEPT И чего тут сложного? То, что в данном случае всех выпускаем, ни кого не впускаем? Ну, как наоборот переписать подсказать или ненадо? |
Сообщ.
#17
,
|
|
|
Цитата Шадофф @ Это разрешение на порт. Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт). А так у меня самого там такие правила, что в какой-то момент пришлось комментарии к правилам добавлять. И чего тут сложного? То, что в данном случае всех выпускаем, ни кого не впускаем? Ну, как наоборот переписать подсказать или ненадо? |
Сообщ.
#18
,
|
|
|
Цитата Спящий @ Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт). hardened gentoo а еще точнее SELinux/RSBAC/PaX/Grsecurity играйся с чем угодно и как хочешь. |
Сообщ.
#19
,
|
|
|
Цитата Спящий @ то разрешение на порт. Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт). А так у меня самого там такие правила, что в какой-то момент пришлось комментарии к правилам добавлять. Ломиться в сеть при первом же случае не спрашивая юзера - прерогатива виндовых программ. Сумлеваюсь, что конверрер будет делать это если его об этом не просить настойчиво (сказать http://www.google.ru в адресной строке). Обновления опять же делаются через какой-нить там apt-get да еще и с sudo и вводом пароля. Вот и все. И не надо в страхе блочить конкверрер, ходящий на 80й порт, у него - бравзер отвалиться =) |
Сообщ.
#20
,
|
|
|
Цитата Мяут @ Вот только не весь софт знает о том, что его обновляют через apt-get или emerge Да и откуда ты знаешь, что он не лазит? Круглые сутки с netstat/tcpdump/другое сидишь? Али тотальные логи ведешь?Обновления опять же делаются через какой-нить там apt-get да еще и с sudo и вводом пароля. best_lamer, ты мне, по сути, предлагаешь ОС переустановить? |
Сообщ.
#21
,
|
|
|
Цитата Спящий @ best_lamer, ты мне, по сути, предлагаешь ОС переустановить? Спящий ну ты спрашивал как сделать так чтоб одно там ходило другое не ходило? Так вот как бы iptables хоть и гибкий инструмент но все равно несколько не для того. А вот эта вся братва Цитата best_lamer @ вместе в определенных комбинациях и по отдельности решают твою проблему. Подробнее иди по ссылке и читай. Настраиваешь там права приложений и все одно будет ходить второе нет. SELinux/RSBAC/PaX/Grsecurity |
Сообщ.
#22
,
|
|
|
Кхммм... Собираю код только из исходников. Ни что ни куда не ходит без моего ведома... Умоляю!!! Скажите! Что я не так делаю?!?
Добавлено Ну нет потребности в том же konqueror'е, так не ставь. Или удали у пользователя оный, или вообще на фиг из системы снеси. Вон, жинке на машинку взгромоздил сейчас для тестов KDE 4.2... Там нет konqeror'а... На машине. Plasma есть, а конкверора нет... |
Сообщ.
#23
,
|
|
|
Цитата Шадофф @ Умоляю!!! Скажите! Что я не так делаю?!? Я не такой маньяк, чтоб читать по 500 строчек из ./configure --help. |
Сообщ.
#24
,
|
|
|
Цитата Спящий @ Да и откуда ты знаешь, что он не лазит? Потому что доверяю честности опенсорс разработчиков Цитата Герыч @ Я не такой маньяк, чтоб читать по 500 строчек из ./configure --help. Я не такой маньяк, чтобы ставить программы, исходников которой не видел никто кроме ее автора. |
Сообщ.
#25
,
|
|
|
Цитата Мяут @ программы, исходников которой не видел никто кроме ее автора. И что тебе дадут исходники? Когда строк в программе больше 30 тысяч, разобраться в ней постороннему нереально. Добавлено Но времена меняются.. Ubuntu наступает. Линуксу действительно не нужен антивирус. Зачем? Я ведь могу просто запостить пакет с "иконками для KDE 5", а установщик спросит пароль к root. А дальше уже можно открывать любые порты, благо это очень просто.. Так что, скоро Linux-сообщество будет перенасыщено дебилоидами. Придется писать платформонезависимые трояны.. |
Сообщ.
#26
,
|
|
|
Герыч, ну как тебе сказать... Вообще-то большая часть вывода из configure соотвтествует общепринятым соглашениям, так что здесь проще. А так... А так помогает вот такая вот командо -> ./configure --help > options;vim options
И спокойненько на листочек себе выпиши нужные тебе опции сборки. Со временем просто накапливается опыт. Цитата Так что, скоро Linux-сообщество будет перенасыщено дебилоидами. Да их и сейчас не так уж мало... Главное, в их число не попасть самому... А там... Да пусть ubuntu наступает... Добавлено Кстати, Герыч, одна из прелестных возможностей Линукс как-раз таки и состоит в том, что если тебе не нравится вот это редактор (броузер файловый менеджер, ...), то просто выкинь его на фиг и не используй. |
Сообщ.
#27
,
|
|
|
Цитата Шадофф @ Кстати, Герыч, одна из прелестных возможностей Линукс как-раз таки и состоит в том, что если тебе не нравится вот это редактор (броузер файловый менеджер, ...), то просто выкинь его на фиг и не используй. что имеется в виду? выкинуть софт из стартового дистрибутива? у винды, если захотеть, можно тоже пооткусать большую часть..., но только после установки вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря |
Сообщ.
#28
,
|
|
|
Цитата ElcnU @ вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря ElcnU а был опыт установки чего либо на gnu linux или это так к слову... когда то где то слышал/читал ? |
Сообщ.
#29
,
|
|
|
Цитата ElcnU @ у винды, если захотеть, можно тоже пооткусать большую часть..., но только после установки Это не отменяет того факта, что в винде нет полноценного менеджера пакетов и нельзя сказать apt-get remove, чтобы ДЕЙСТВИТЕЛЬНО удалить данный функционал. Цитата ElcnU @ Твоя неправда. Линукс вежливо выдаст список того чего ему надо и спросит: "Хотите продолжить?" вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря |
Сообщ.
#30
,
|
|
|
Цитата что имеется в виду? выкинуть софт из стартового дистрибутива? А это зачем? Для начала, например познакомиться с LSB и понять -- что из стартового достирибутива нужно, а что нет. Далее например ту же Слаку взять, можно ставить ПО по выбору. Как библиотеки, так и сервера, так же и прикладнуху... Смысл в каких-то революциях? В других дистрибах может быть другая реализация этого механизма. Но выбор всегда есть.. |