Ubuntu 10.04 LTS - Обзор

SemyonKozakov · 09-06-10 14:47:26

История в тему:
Года 2 назад (когда я эникеем подрабатывал) я приходил к клиенту Windows переустанавливать. Версия XP. Поставил, накатил Касперыча, подключил к Инету и запустил обновления качать. Отворачиваюсь от компа... и ВИЗГ!!!111. Визжал аки свинья Касперыч, который умкдрился найти малварь на новенькой Винде (!!!).
Причина была проста: одновременно с Инетом подключилась локалка местная. 2000 компов и ходячий п..ц в плане малвари. Как потом выяснилось, больше половины трафа сети создавалось малварью. А поскольку стояла нативная WinXP SP2 необновлённая, а тут же самая разная малварь полетела на подключённый комп... Результат очевиден cool

kenzzzooo · 09-06-10 14:47:26

spoilt пишет:

В организации с доменом? Кто тебе такое даст?

под локальным?

MouseTail · 09-06-10 14:49:05

Mandriva-oid пишет:

Результат очевиден

Да, очевиден. Админ, который выставляет непропатченую до последнего WSUSа винду в недоверенную сеть -- профнепригоден.

БШЛ · 09-06-10 14:50:06

Бродяга пишет:

У меня уже на уровне рефлекса выработалось - поставил новый софт, тут же запускаю autoruns и проверяю, что там появилось.
Так что, проблема говнософта и быдлокодеров есть. Вот только МС тут не виновата ни разу.

Аналогично. Поставил софтину, сразу - Пуск - Администрирование - Конфигурация системы - Автозагрузка и тихо ахуеваешь от того, какие все умные...

Ну вот кто решил, что всё это бляцтво обязательно должно запускаться при старте системы??? Причём на этапе установке софта об этом вообще нигде ни слова не говорится.
А про дичайшее решение от мыла.ру - Guard. Mail. ru даже на офсайте невозможно найти ни слова, что это за херь, откуда она берётся и нах*я оно нужно. Так оно, сцуко, ещё и службу, блять, собственную создаёт втихаря.

Так что Бродяга абсолютно прав - глаз да глаз нужен.

SemyonKozakov · 09-06-10 14:50:52

MouseTail пишет:

Админ, который выставляет непропатченую до последнего WSUSа винду в недоверенную сеть -- профнепригоден.

Ынтересно, это как же я должен был пропатчить без инета?

MouseTail · 09-06-10 14:53:57

Mandriva-oid пишет:

Ынтересно, это как же я должен был пропатчить без инета?

Легко. Все существующие апдейты доступны с сайта WU/MU, если не щёлкать е6лом и переключиться в административный режим.
А в этом конкретном случае ты поймал что-то типа Sasser'а, последняя малварь его семейства была закрыта в СП3, который ты просто обязан был накатить ДО того как. Если уж интеграцию сп в дистр не осилил.
И ещё один способ, народный -- отрезать оба lanman'а от сетевого интерфейса, торчащего в недоверенную сеть, до полного пропатча. Это делается аж в 4 клика мышой, кстати.
Или отрезать DCOM от lanman'ов в довесок к тому - через dcomcnfg.
В общем -- кто хочет, ищет способ, кто не хочет - билли виноват.

Отредактировано MouseTail (09-06-10 14:55:58)

ALEX · 09-06-10 14:55:16

spoilt пишет:

Граница между пользователем и админом оооооочень четкая. А в Win7 она немного "призрачная" и определяется тем как пользователь выставил UAC.

Собственно, никто не запрещает разделить строго на админа и пользователя.

SemyonKozakov · 09-06-10 14:57:15

MouseTail пишет:

Легко. Все существующие апдейты доступны с сайта WU/MU, если не щёлкать е6лом и переключиться в административный режим.
А в этом конкретном случае ты поймал что-то типа Sasser'а, последняя малварь его семейства была закрыта в СП3, который ты просто обязан был накатить ДО того как. Если уж интеграцию сп в дистр не осилил.

Так. Ещё раз, по буквам. ЛИЦЕНЗИОНЫЫЙ ДИСТР WInXP SP2, SP3 не вышел тогда ещё в принципе. САМЫЙ ОБЫЧНЫЙ ХОМЯЧКОВЫЙ КОМП, про местную локалку я вообще не имел понятия. ПО БУКВАМ, ЧТО Я ТАМ ДОЛЖЕН БЫЛ СТАВИТЬ?

Svart Testare · 09-06-10 15:12:04

spoilt пишет:

Такой системы как UNIX нет там до сих пор. Только UAC более менее спасает. А так все грустно.

Вы что, читать разучились? Разделение прав по типам учётных записей, ACL, маркеры безопасности — это даже намного гибче чем то, что в UNIX.

spoilt пишет:

Администратор в Windows не является безраздельным власталеином в системе. Всем заправляет пользователь SYSTEM

SYSTEM (как и TrustedInstalled) это не пользователи, а просто сервисные учётные записи. Пользователей бывает только 2 типа — администратор и стандартный пользователь. Из них только у администратора есть максмальное количество прав.

spoilt пишет:

Сейчас это более реально. В XP - это мазохизм был чистой воды. Даже с либами VB невозможно было работать с ограниченными полномочиями.

И в XP и даже в 2000-й была такая штука как RunAs и она возникала когда было необходимо повышение прав до админских. А если какой-то софт писался некорректно и требовал для своей работы исключительно административной учётки, то это софт виноват, а не ОС. Я с таким софтом дел вообще не имею.

spoilt пишет:

Система летает. Стоит хоть немного загрузить и начинаются песни-пляски.

Чем загрузить? У меня на работе на десктопе установлена Vista x64 SP2 на компе 4-летней давности с 2 гигами оперативки. Кроме этого постоянно используются Outlook 2007, Word 2007, Excel 2007, иногда PowerPoint 2007, OneNote 2007 (для митингов и презентаций). Кроме этого полно софта от Adobe, в частности Acrobat Professional Standard. Добавить к этому терминал и всякие сетевые утилиты, необходимые для работы. И вся эта кухня чудесно работает, тормоза не ощущаются.

spoilt · 09-06-10 15:17:56

MouseTail пишет:

Это плохо?

Незнаю. Поживем увидим.

kenzzzooo пишет:

под локальным?

Ну, насколько я помню, там был домен AD на всю организацию. Я там как-то мимо проходил и видел мучения админов. Нужно было перенести машины програаммеров в домен. Пыталсь по стандартным пользователем работать и VB2006 улетал в трубу с ошибкой при пробе прилинковать библиотеку из комплекта ОС. Вроде как они плюнули на это дело. Вообще это было два года назад.

spoilt · 09-06-10 15:25:19

Svart Testare пишет:

Вы что, читать разучились? Разделение прав по типам учётных записей, ACL, маркеры безопасности — это даже намного гибче чем то, что в UNIX.

UNIX - это не только разделение прав. Это еще и парадигма "все есть файл", так что управление системой сводится к управлению файловвыми привелегиями к ресурсам системы. Простой пример: попробуй в Windows запретить пользователю смотреть тв-тюнер/слушать аудио.

Svart Testare пишет:

Чем загрузить?

Да ничем. Я тут FullHD посматриваю и GIMP гоняю с Blender'ом.

Svart Testare · 09-06-10 15:32:02

spoilt пишет:

UNIX - это не только разделение прав. Это еще и парадигма "все есть файл",

Это не даёт никаких преимуществ с точки зрения управления безопасностью.

spoilt пишет:

попробуй в Windows запретить пользователю смотреть тв-тюнер/слушать аудио.

Во проблема-то! Даже на уровне отдельных приложений это можно сделать, а не только глобально. Хоть локально, хоть в домене.

spoilt пишет:

Я тут FullHD посматриваю и GIMP гоняю с Blender'ом.

То же самое и в Vista на 2 гигах. Всё зависит от размера графического файла, который вы в GIMP открываете — откройте 3 гиговый TIFF, вместе посмеёмся smile

spoilt · 09-06-10 15:36:06

Svart Testare пишет:

3 гиговый TIFF

Я телескопами не снимаю. У меня даже панорамы рееедко за 300 метров переваливают.

Svart Testare пишет:

Хоть локально, хоть в домене.

И как это сделать локально и за несколько кликов? Мне действительно интересно.

Отредактировано spoilt (09-06-10 15:38:58)

Svart Testare · 09-06-10 15:48:47

spoilt пишет:

И как это сделать локально и за несколько кликов? Мне действительно интересно

gpedit.msc → User Configuration → Administrative Templates → System → Don't run specified Windows applications
Ещё можно через родительский контроль (обычные пользователи это дети big_smile ), но как именно — нужно смотреть.

ALEX · 09-06-10 15:49:05

spoilt пишет:

И как это сделать локально и за нескоько кликов?

Ну хотя бы запретить директорию с программой для чтения.

Svart Testare · 09-06-10 15:49:57

ALEX пишет:

Ну хотя бы запретить директорию с программой для чтения.

Напоминает лечение перхоти топором smile

spoilt · 09-06-10 15:51:04

Svart Testare пишет:

gpedit.msc → User Configuration → Administrative Templates → System → Don't run specified Windows applications

Бред. Неглобально мыслите. Вам придется указать все программы которые могут просматривать ТВ-тюнер. А их дофига и больше.

ALEX · 09-06-10 15:51:42

Svart Testare пишет:

Напоминает лечение перхоти топором

Unix-way, кстати.

spoilt · 09-06-10 15:56:16

ALEX пишет:

Unix-way, кстати.

Не.... UNIX-way - это сменить владеющую группу у устройства тв-тюнера на video (хотя обычно оно так и есть) и исключить необходимого пользователя из группы video. Во-аля!

kenzzzooo · 09-06-10 15:59:21

Svart Testare пишет:

gpedit.msc → User Configuration → Administrative Templates → System → Don't run specified Windows applications
Ещё можно через родительский контроль (обычные пользователи это дети big_smile ), но как именно — нужно смотреть.

угу smile

ALEX · 09-06-10 16:20:01

Ну, собственно, выяснили, что в Windows и это можно. smile

spoilt · 09-06-10 16:21:38

ALEX, можно, но не с той стороны.

kenzzzooo · 09-06-10 16:27:27

spoilt пишет:

ALEX, можно, но не с той стороны.

с какой же это "не с той"? вам что, простите, нужно?

Svart Testare · 09-06-10 16:28:16

spoilt пишет:

Вам придется указать все программы которые могут просматривать ТВ-тюнер

Нас не интересует какие программы могут. Для нас важно, чтобы пользователь не мог запустить установленные программы для просмотра TV. Само собой разумеется, что установить ничего дополнительно он без админправ не сможет.
UPD: В том же Group Policy Editor можно запретить пользователю использование Media Center и он не сможет смотреть ТВ.

spoilt · 09-06-10 16:47:05

Svart Testare, а еще есть VirtualDub который поставляется в готовом к работе виде и может подключится к тюнеру напрямую. В любом случае лазейка остается.

Отредактировано spoilt (09-06-10 16:47:25)

Форум StopLinux

Объявление

#51 09-06-10 14:47:26

Re: Ubuntu 10.04 LTS - Обзор

#52 09-06-10 14:47:26

Re: Ubuntu 10.04 LTS - Обзор

#53 09-06-10 14:49:05

Re: Ubuntu 10.04 LTS - Обзор

#54 09-06-10 14:50:06

Re: Ubuntu 10.04 LTS - Обзор

#55 09-06-10 14:50:52

Re: Ubuntu 10.04 LTS - Обзор

#56 09-06-10 14:53:57

Re: Ubuntu 10.04 LTS - Обзор

#57 09-06-10 14:55:16

Re: Ubuntu 10.04 LTS - Обзор

#58 09-06-10 14:57:15

Re: Ubuntu 10.04 LTS - Обзор

#59 09-06-10 15:12:04

Re: Ubuntu 10.04 LTS - Обзор

#60 09-06-10 15:17:56

Re: Ubuntu 10.04 LTS - Обзор

#61 09-06-10 15:25:19

Re: Ubuntu 10.04 LTS - Обзор

#62 09-06-10 15:32:02

Re: Ubuntu 10.04 LTS - Обзор

#63 09-06-10 15:36:06

Re: Ubuntu 10.04 LTS - Обзор

#64 09-06-10 15:48:47

Re: Ubuntu 10.04 LTS - Обзор

#65 09-06-10 15:49:05

Re: Ubuntu 10.04 LTS - Обзор

#66 09-06-10 15:49:57

Re: Ubuntu 10.04 LTS - Обзор

#67 09-06-10 15:51:04

Re: Ubuntu 10.04 LTS - Обзор

#68 09-06-10 15:51:42

Re: Ubuntu 10.04 LTS - Обзор

#69 09-06-10 15:56:16

Re: Ubuntu 10.04 LTS - Обзор

#70 09-06-10 15:59:21

Re: Ubuntu 10.04 LTS - Обзор

#71 09-06-10 16:20:01

Re: Ubuntu 10.04 LTS - Обзор

#72 09-06-10 16:21:38

Re: Ubuntu 10.04 LTS - Обзор

#73 09-06-10 16:27:27

Re: Ubuntu 10.04 LTS - Обзор

#74 09-06-10 16:28:16

Re: Ubuntu 10.04 LTS - Обзор

#75 09-06-10 16:47:05

Re: Ubuntu 10.04 LTS - Обзор

Подвал форума