17.12.08, 19:54, "Dmitry Marin" <cor...@corvax.ru>: > >> VW> Увы, если уж мы про remote root exploit, или хотя бы remote shell, > >> VW> то его достаточно одного. Во внешнем слое защиты. > >> Ну почему же? Сервер OpenVPN сделать изолированным от всего остального > >> гейтом "внутрь". > > Вообще, если говорить про настоящую паранойю, то требуется использовать > > файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. > > Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server > > RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных > > линуха), тем лучше.
> Очень спорно. На портяжении всего прощедшего года неоднократно читал > убедительные доказательства, что мультивендорность приносит больше > проблем, нежели пользы. Ключевой момент -- поддержка различных > устрйоств\программ отнимает больше средств, времени и требует куда > больших специальных знаний. Последнее конечно совесм не плохо само по > себе, но часто это выливается в необходимость иметь в штате еще одного > специалиста со всеми вытекабими. Ну, TCO у мультивендорной системы выше, да. Заметим, у системы из "шлюз раздельно машина раздельно" и TCO и начальная стоимость тоже выше, чем у просто машины, торчащей наружу 22ым портом. Так что в линии паранойи всё начинается с наличия пароля на ssh (разумный минимальный уровень безопасности) и заканчивается мультивендорной системой из двух файрволов с NAT'ом локальной сети относительно DMZ. Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью VPN) - почему бы и нет? -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
