Нужна документация по security

1. Здешний Security FAQ.

2. Достаточно сделать следующее: запретить (DROP) извне любые входящие пакеты, не являющиеся ответными на свои пакеты. В терминологии OpenBSD pf это -- правила keep state, как это будет на iptables -- не знаю.

Ещё заглянь сюда http://www.linux.org.ru/jump-message.jsp?msgid=542975 смотри мои посты, в частности посты #3 и #8 - практически исчерпывающие ответы на твой вопрос. Неужели влом посмотреть на эту же страничку форума на 18 тем ниже?

З.Ы. Пожалуй, сейчас сяду накатаю fagot'у мыло с предложением включить это в LOR-FAQ - постоянно спрашивают об этом...

> .Ы. Пожалуй, сейчас сяду накатаю fagot'у мыло с предложением включить это в LOR-FAQ - постоянно спрашивают об этом...

я это внесу в LOR/Security FAQ, если ты не против.

> Нужна документация по защите PC от атак в LAN и извне.

внутри завести "серые" адреса и поставить squid на Linux. Юзерам дать инетку через squid. Больше ничего не давать. На squid зарезать exe, dll, vbs и прочую ерунду. Можно поставить антивирус туда же.

NAT - это зло.

Завести внутренний DNS без форвардинга наружу.

Почту отсылать-принимать через антивирус. Заодно DSPAM какой-нить прикрутить.

Для начала хватит.

>я это внесу в LOR/Security FAQ, если ты не против.

Конечно не против. Просто я уже успел отослать мыло fagot'у с предложением внести эту тему в общий FAQ (в который народ, судя по-всему, заглядывает немного чаще)... и надо будет это с ним как-то согласовать, наверное. Вообще-то я не против того, что б эта тема была в обоих FAQ :), но это несколько некошерно, вроде как...

А может вообще стоит подумать над тем, чтоб объединить эти FAQ? Чтобы Security-FAQ стало разделом общего? Может людям так будет проще найти ответы на свои вопросы? Например, часто возникает вопрос: "а как сделать, чтоб мои настройки iptables восстанавливались при каждой загрузке?", а этот вопрос, в принципе, относится и к безопасности, и к администрированию...

Это был я. Забыл подписаться :)

Спасибо! Буду разбираться.

> А может вообще стоит подумать над тем, чтоб объединить эти FAQ? Чтобы Security-FAQ стало разделом общего?

а черт его знает. я у fagot спрашивал - но он молчит. я ничего не имею против с одной стороны, но с другой в такой форме его проще поддерживать - cvs-то нет.

Вот ещё нашёл доку http://www.unixpages.com/disp.php?5

>у fagot спрашивал

ой, а где? Видимо просмотрел :(

А в общем, я - за. Все равно это уже не просто Desktop FAQ. Если что, сейчас в принципе уже готова обновленная версия, можно и включить раздел Security, перед публикацией. А обновление... как-то речь шла о cvs на l.o.r но... :))

Имхо, эта дока как раз в данном случае, бесполезна, ибо она есть based on false assumptions, так сказать. Речь идёт о защите шлюза из локалки в инет, а не десктопа юзера в самой локалке, причём предполагается, что из самой локалки никакой угрозы исходить не может, что в сабжевом случае, в корне неверно.

> А в общем, я - за. Все равно это уже не просто Desktop FAQ.

когда я начинал с lor/security, я всем говорил, что на поддержку других веток меня все равно не хватит. мне и с этой-то mator помогает.

против объединения я ничего не имею, мы об этом говорили. дело еще в том, что у меня к faq прилагается еще разная ерунда (смотри сам: http://ivlad.unixgods.net/lor-faq ) и ее надо бы держать рядом.

ждем cvs на lor. не знаю как у тебя, а у меня пошел третий год. или чтвертый? ;)

Ок, тогда склею в кучу.

>к faq прилагается еще разная ерунда

Имхо, на самом ЛОРе ему место. Ну и у себя положу.

>ждем cvs на lor. не знаю как у тебя, а у меня пошел третий год. или чтвертый? ;)

:)))