Антивирус Касперского будет предустанавливаться на андроид-смартфоны

А какое отношение это имеет к антивирусу и «моим» велосипедам?

Такое же, как и твои велосипеды к антивирусам.

Зачем аудит для РЕШЕТА?

Почему решета? Ошибиться может каждый, и админ, настраивающий сервер, и программист, пишущий код сервиса. Тут только ты идеальный сказочник.

В десктопе же ситуация плачевна: получив дыру в каком-нить скайпе, враг получает права НА ВСЁ. Даже рута тут не надо, если у нас один юзер. Например rm -rf сотрёт все данные юзера, оставив лишь нафейхуя никому ненужную систему, которая и так на Over9000 зеркалах выложена.

У тебя плачевна, а я лишь получаю строку аудита в логах, и не то, что при удалении, а даже при попытке чтения.

древняя

Вот это точно. Она не утратила своей мощи, но сейчас уже появились другие средства, которые ты почему-то воспринимаешь в штыки, когда крупные дистрибутивы давно их у себя используют.

да пусть используют, я не против.

Все эти внешние системы — сторонние костыли, которые работают ПОВЕРХ встроенной системы прав. Я не спорю, оно конечно нужно, но на 99% десктопов — тупо избыточно. Я понимаю, пулемёт штука полезная, но простая дубовая дверь тоже не помешает. И лучше иметь то и другое, или просто дверь, как у меня. Иметь только пулемёт как у тебя — нерационально ИМХО.

А всё остальное как и всегда: httpd не может попасть в /var/lib/mysql/, а вот mysqld не имеет прав для доступа к /var/www/.

Ну ты считаешь, что взломанный сервис - это ок, т.к. он изолирован, а я считаю, что это плохо и нужно об этом сигнализировать, на этом и закончим.

Ты упорот. Httpd _может_ попытаться получить доступ куда-то, но я не говорил, что это хорошо. Это конечно плохо. Но ещё хуже, если злоумышленник получит ПОЛНЫЙ контроль.

Почему решета? Ошибиться может каждый, и админ, настраивающий сервер, и программист, пишущий код сервиса.

вот именно потому, доступ у процесса должен быть _только_ к тому, к чему можно. А единственный надёжный способ процессы различать, это UID. Оно есть в ядре иначально. Всё остальное — ненадёжные костыли.

А если UID у всех процессов одинаковый, то и отличить их невозможно в общем случае.

У тебя плачевна, а я лишь получаю строку аудита в логах, и не то, что при удалении, а даже при попытке чтения.

для этого тебе надо кучу правил для КАЖДОГО приложения написать, и НИ РАЗУ не ошибиться. А мне достаточно просто запускать процессы с разными UID, и закрыть всё отовсех (оно и так закрыто на запись).

В этом случае, rm -rf от wine, будет удалять исключительно сэйвы игрушек wine. Да, я этого не замечу сразу, ну и ладно.

Я не спорю, оно конечно нужно, но на 99% десктопов — тупо избыточно.

Я не вижу преимуществ изоляции перед грамотно настроенным AppArmor (хотя должен признать, из коробки там полное говно).

Иметь только пулемёт как у тебя — нерационально ИМХО.

Ну какое же ты балаболище. Все сервисы изолированы из коробки, а выше я писал, что так же у меня есть 2 пользователя, от которых я иногда запускаю некоторые приложения, просто мне так удобнее хранить рабочее окружение для этих приложений.

Это конечно плохо.

Но ты упорно предлагаешь игнорировать этот факт, и пытаешься убедить нас, что ежечасно парсишь логи апача на предмет подозрительных запросов.

Но ещё хуже, если злоумышленник получит ПОЛНЫЙ контроль.

Может я действительно упорот, тогда покажи где я с этим спорил.

для этого тебе надо кучу правил для КАЖДОГО приложения написать, и НИ РАЗУ не ошибиться.

Ну так и сервис нужно конфигурировать без ошибок, у тебя с этим проблемы?

В этом случае, rm -rf от wine, будет удалять исключительно сэйвы игрушек wine. Да, я этого не замечу сразу, ну и ладно.

Да я уже понял, что ты говноед. Я могу в рамках своего пользователя разграничить права для приложений.

Я не вижу преимуществ изоляции перед грамотно настроенным AppArmor (хотя должен признать, из коробки там полное говно).

настройка намного проще. И древность даёт свои профиты: все щели и косяки давно изучены и подробно расписаны. В любом мане по ssh написано, про права 0700 на ~/.ssh, однако нигде не упомянуто, что на десктопе с одним юзером это БЕСПОЛЕЗНО. Как решает проблему твой apparmor например от доступа через браузер? Надо специально там ~/.ssh прописывать?

Ну какое же ты балаболище. Все сервисы изолированы из коробки

на десктопе это имеет только академический интерес. А балабол — ты.

Но ты упорно предлагаешь игнорировать этот факт, и пытаешься убедить нас, что ежечасно парсишь логи апача на предмет подозрительных запросов.

нет. Я смотрю лог ошибок, в которых ВНЕЗАПНО и записываются в т.ч. и ошибки доступа. А если на этой системе нет апача, то там да, не смотрю. Смотреть нечего.

Но ещё хуже, если злоумышленник получит ПОЛНЫЙ контроль.

Может я действительно упорот, тогда покажи где я с этим спорил.

Дык ВСЕ твои файлы доступны ВСЕМ программам, работающим с твоим UID. Если конечно ты каких-то костылей СПЕЦИАЛЬНО не наворотил. А костылей на всё сделать невозможно.

Да, то называется «хитрый план»:

1. делаем РЕШЕТО №1 by design, раздаём бесплатно.

2. ждём, пока найдут дыру.

3. делаем РЕШЕТО №2, которое от №1 отличается закрытой найденной дырой, и продаём

4. goto 2.

Опционально можно бесплатно раздавать инструкцию, как дырки руками затыкать. Ну или распространять бесплатно РЕШЕТО от позапрошлого года (CentOS).

Ты ещё не понял, что тебя поимели?

для этого тебе надо кучу правил для КАЖДОГО приложения написать, и НИ РАЗУ не ошибиться.

Ну так и сервис нужно конфигурировать без ошибок, у тебя с этим проблемы?

дык сервисы искароппки конфигурируются. Давольно простым способом: разрешение доступа к своим ресурсам, и запрет доступа ко ВСЕМ остальным. Юзеры точно также конфигурируются.

В этом случае, rm -rf от wine, будет удалять исключительно сэйвы игрушек wine. Да, я этого не замечу сразу, ну и ладно.

Да я уже понял, что ты говноед. Я могу в рамках своего пользователя разграничить права для приложений.

сам-ты говноед. У меня права УЖЕ разграничены.

По твоему, если кепка от удара топора не поможет, то нужно всем без кепки ходить? И налысо брить голову?

Брей, только не нужно за меня додумывать какой то бред.

Антивирус от рута не помогает.

Ну это опять же от путаницы терминов. Системы Касперского уже давным давно не являются просто Антивирусом - можешь сам убедиться http://www.kaspersky.ru/kaspersky_mobile_security, антивирус всего лишь один из модулей.

И права не помогают, и аудит не помогает.

Аудит помогает, особенно совместно со средством обнаружения вторжений (IDS) или средством анализа поведения (http://ru.wikipedia.org/wiki/Проактивная_защита), коими в том или ином виде сейчас комплектуется любой более менее вменяемый «антивирус». Ибо защита вещь комплексная.

я? никаким.

Хм и нафига ты его тогда упомянул ? Для красного словца ?

Говоришь, что unix-like система защиты файлов плоха, потому-что не умеет аудит.

Я подобное разве утверждал ? Хм ... прикольные у тебя голоса

Однако, что-бы порутать Linux, нужно какую-то дыру сначала найти.

Кто ищет тот найдет. Пару лет назад хакнули кернел.орг, после чего их админы тотально запретили shell доступ. А это знаешь ли не спроста, особенно если всё так просто и надежно «решается» POSIX правами хе хе

Как решает проблему твой apparmor например от доступа через браузер? Надо специально там ~/.ssh прописывать?

Зачем там прописывать ~/.ssh? Туда нет доступа у браузера, есть доступ только к тем каталогам, которые требуются ему для работы и к загрузкам.

на десктопе это имеет только академический интерес.

Для тебя, говноеда, и для тех, кому пофиг. Мне тоже было пофиг, а потом я парился с запуском браузера от отдельного пользователя, теперь решил, что AppArmor лучше. Когда админил серверы с RHEL, там отключал SELinux, просто потому что не знал его.

Я смотрю лог ошибок, в которых ВНЕЗАПНО и записываются в т.ч. и ошибки доступа.

Как часто и какими средствами (опустим то, что я в это вообще не верю)? Вот я делаю довольно редко + тогда, когда есть проблемы. Зачем постоянно мониторить ошибки, когда для этого есть аудит?

Дык ВСЕ твои файлы доступны ВСЕМ программам

Ты задолбал уже, сколько тебе можно повторять, что это не так?

Ты ещё не понял, что тебя поимели?

Но ты ведь не админил ничего кроме локалхоста, правда?

Давольно простым способом: разрешение доступа к своим ресурсам, и запрет доступа ко ВСЕМ остальным. Юзеры точно также конфигурируются.

А как конфигурируется AppArmor?

Ну это опять же от путаницы терминов. Системы Касперского уже давным давно не являются просто Антивирусом - можешь сам убедиться

кто-бы сомневался. Сифилис он тоже лечит?

Ибо защита вещь комплексная.

о да, костыльная защита — это непросто, надо целый комплекс к РЕШЕТУ докупать. Я ваш хитрый план уже понял.

Хм и нафига ты его тогда упомянул ? Для красного словца ?

просили аудит, я сказал про аудит. Это не является прямой функцией защиты. Хотя является важным дополнением. Однако, аудит и так имеется внутри самих приложений, потому это не так уж и важно. А то, что в какой-нить венде нет ни логов, ни встроенного аудита — дык то проблемы вендоюзеров, которым приходится покупать антивирус и с этим костылём тоже. В Linux это всё в коробке.

Говоришь, что unix-like система защиты файлов плоха, потому-что не умеет аудит.

Я подобное разве утверждал ? Хм ... прикольные у тебя голоса

только-что ссылку дал. К чему ты её давал-то? Что касперский хорош кучей своих ненужных модулей, в т.ч. и модулем аудита? Дык у нас этот аудит в ядро встроен, зачем нам ваши костыли? Что там у вас ещё? Фаервол? Тоже есть в ядре. В сухом остатке — защита юзера от самого себя, точнее от своих приложений, которым он сам же не доверяет. Т.е. песочница. Тоже есть в ядре Linux, и не требует костылей. Но есть и apparmor для упёртых.

Кто ищет тот найдет. Пару лет назад хакнули кернел.орг, после чего их админы тотально запретили shell доступ. А это знаешь ли не спроста, особенно если всё так просто и надежно «решается» POSIX правами хе хе

а абсолютную защиту только морг гарантирует, извини.

Вот только костыли тем более не помогут.

а абсолютную защиту только морг гарантирует, извини.

Ну почему же, ты тут явно рекламируешь абсолютную достаточность POSIX прав, и не нужность не только «антивируса» но даже ACL.

Вот только костыли тем более не помогут.

Огромное количество, как принято сейчас говорить, людей с ограниченными возможностями, с тобой не согласятся.

Как то твой подход неясен. ACL не нужно потому что POSIX наше всё, а если вдруг нужно что то сверху POSIX то сразу морг/гарантия/костыли/не помогут. А какой смысл с POSIX правами возиться тогда ? Один фиг же если захотят сломают.

Если же ты считаешь что не сломают, то стало быть утверждаешь POSIX таки гарантирует, тогда неясно причем тут морг.

просили аудит, я сказал про аудит.

inotify не рекурсивен, поэтому для аудита бесполезен чуть менее чем полностью. С таким же успехом ты мог бы предложить запустить top и отслеживать глазами неугодные процессы. Всего то делов, нужно заранее знать когда, куда и на что смотреть

Зачем там прописывать ~/.ssh? Туда нет доступа у браузера, есть доступ только к тем каталогам, которые требуются ему для работы и к загрузкам.

а как получается это твоё «нет доступа»? В чём разница ~/Download и ~/.ssh?

Для тебя, говноеда, и для тех, кому пофиг. Мне тоже было пофиг, а потом я парился с запуском браузера от отдельного пользователя, теперь решил, что AppArmor лучше. Когда админил серверы с RHEL, там отключал SELinux, просто потому что не знал его.

это всё слова. Фактов в них нет.

Я смотрю лог ошибок, в которых ВНЕЗАПНО и записываются в т.ч. и ошибки доступа.

Как часто и какими средствами (опустим то, что я в это вообще не верю)?

на десктопе? да постоянно, если пользуюсь localhost'ом. Смотрю vim'ом. Если не пользуюсь, то и апач не нужен.

Дык ВСЕ твои файлы доступны ВСЕМ программам

Ты задолбал уже, сколько тебе можно повторять, что это не так?

допустим — верю. А кто и как им запрещает?

Ты ещё не понял, что тебя поимели?

Но ты ведь не админил ничего кроме локалхоста, правда?

а это тут не при чём, именно я как раз за локалхост и говорил. А если тебе это так интересно, то я не только что-то там одминил, но и исправлял чужие ошибки, вот таких самых умных админов, как ты.

А как конфигурируется AppArmor?

По слухам не сложнее SELinux. Беда только в том что SELinux по результатам SMS голосования в гугле принято отключать к чертовой матери, чем пытаться настроить.

Давольно простым способом: разрешение доступа к своим ресурсам, и запрет доступа ко ВСЕМ остальным. Юзеры точно также конфигурируются.

А как конфигурируется AppArmor?

ну ресурсы == файлы, и у них UID есть. У юзеров тоже есть UID. Если UID юзера совпадает с UID файла, то этот юзер царь и бох этого файла. А вот как эту ситуацию меняет apparmor — ты нам сейчас и расскажешь.

только-что ссылку дал.

Стало быть я умудрился после _твоего_утверждения_ дать ссылку на то что где я где то _ДО НЕГО_ сказал мол :

unix-like система защиты файлов плоха, потому-что не умеет аудит

Непременно плоха, и непременно потому-что не умеет аудит ? А почему эта ссылка ведет на какой то сайт, где нет ни одного моего слова, тем более из тобой мне приписываемог ?

Я и говорю - прикольные у тебя голоса. Может тогда с автора топика начнешь, он тоже давал ссылки, и судя по всему ты в них должен был «увидеть» абсолютно тоже самое

В чём разница ~/Download и ~/.ssh

Глазами не видишь, да? Причем шаблон для AppArmor можно задать так, что это будет актуально для всех пользователей.

А кто и как им запрещает?

man AppArmor

А если тебе это так интересно, то я не только что-то там одминил, но и исправлял чужие ошибки, вот таких самых умных админов, как ты.

И что же ты делал в SELinux в Red Hat?

а абсолютную защиту только морг гарантирует, извини.

Ну почему же, ты тут явно рекламируешь абсолютную достаточность POSIX прав

достаточность != неуязвимость. Как средства защиты их обычно вполне хватает. Практически всегда на локалхосте. Как всё остальное — они для этого просто не предназначены, есть другие средства.

и не нужность не только «антивируса» но даже ACL.

на локалхосте с одним-двумя пользователями — да, не нужно ни то, ни другое.

Огромное количество, как принято сейчас говорить, людей с ограниченными возможностями, с тобой не согласятся.

Безусловно. А ещё антивирус нужен в хромоногой Windows™. Я и не спорю с этим. Но зачем нужны костыли, если есть ноги? На которых куча народу отлично ходит, и хоть и спотыкается, но довольно таки редко.

Как то твой подход неясен. ACL не нужно потому что POSIX наше всё, а если вдруг нужно что то сверху POSIX то сразу морг/гарантия/костыли/не помогут. А какой смысл с POSIX правами возиться тогда ? Один фиг же если захотят сломают.

Нет, если нужны какие-то хитрые политики доступа, то ACL безусловно нужен, но я НЕ знаю, зачем это может быть нужно на десктопе/лаптопе. Буду благодарен, если расскажешь. А на сервере с Over9000 юзеров + дюжина рутов — да, без SELinux'а никуда.

Ну а про ненужность POSIX прав — это ты сам додумал.

Да это понятно, просто он противопоставил настройку юзеров и AppArmor, вот я и пытаюсь понять почему он не может запретить все кроме необходимых приложению данных.

Расскажешь ты, потому что ты противопоставил настройку прав доступа для юзеров и всего остального. Ну так сможешь рассказать почемумы ты не можешь запретить все и оставить только то, что нужно?

inotify не рекурсивен, поэтому для аудита бесполезен чуть менее чем полностью.

inotify это не костыль, это встроенный аудит в Linux ядре. Ты его спутал с одноимённой командой, для простых случаев. Команды может и не быть вообще, а вот сам аудит всё равно будет, если ты конечно ядро не пересоберёшь.

С таким же успехом ты мог бы предложить запустить top и отслеживать глазами неугодные процессы. Всего то делов, нужно заранее знать когда, куда и на что смотреть

ну если документацию не читать, то да, только top. Хотя лучше lsof для этого.

inotify это не аудит

Беда только в том что SELinux по результатам SMS голосования в гугле принято отключать к чертовой матери, чем пытаться настроить.

95% если и ставят права, то 0777, что-бы не мучиться.

95% пользуются Windows™

95% идиоты

…продолжать?

В чём разница ~/Download и ~/.ssh

Глазами не видишь, да?

нет. Почему /usr/bin/ssh может, а /usr/bin/firefox не может?

man AppArmor

т.е. ты не читал?

Т.е. ты сначала утверждал, что ничего кроме posix-прав не нужно, а теперь пытаешь выступать в роли КО?

Расскажешь ты, потому что ты противопоставил настройку прав доступа для юзеров и всего остального. Ну так сможешь рассказать почемумы ты не можешь запретить все и оставить только то, что нужно?

я могу потому, что этот способ присутствует в ядре, нативно. Я его просто использую. Будет мало — буду юзать ACL, на серверах иногда надо. Оно тоже нативное, хоть и отключено по дефолту.

Почему /usr/bin/ssh может, а /usr/bin/firefox не может?

У тебя может, у меня не может. Спасибо AppArmor'у. Если у тебя конкретный вопрос, создавай тему.

т.е. ты не читал?

Т.е. ты утверждаешь, что AppArmor чего-то не может просто потому, что ты с ним не знаком?

inotify это не аудит

да, inotify это мониторинг событий ФС. Как раз то, что доктор прописал, если «хочу знать, что апач ползает по ФС». Auditd для этого как-то черезчур ИМХО.

Т.е. ты сначала утверждал, что ничего кроме posix-прав не нужно, а теперь пытаешь выступать в роли КО?

нет. Я никогда не утверждал придуманого тобой бреда. А вот К.О. - да, сейчас например.

хочу знать, что апач ползает по ФС

С помощью inotify этого узнать нельзя. Для этого есть более удобные средства, например atop с логгированием. В винде, кстати, это всё есть из коробки.

Будет мало — буду юзать ACL

Ну вот и считай, что кому-то уже мало. Почему ты решил, что твой юзкейс, покрываемый нерасширяемым решением, пригоден для всех?

Оно тоже нативное, хоть и отключено по дефолту.

Где именно оно отключено по дефолту? Я могу привести пример, где оно включено по дефолту, и чуть ли не каждый первый ман в инете советует его выключить. Ты опять распространяешь свой опыт администрирования локалхоста на промышленные решения?

Почему /usr/bin/ssh может, а /usr/bin/firefox не может?

У тебя может, у меня не может. Спасибо AppArmor'у. Если у тебя конкретный вопрос, создавай тему.

у меня есть конкретный вопрос, задам его ниже.

ты утверждаешь, что AppArmor чего-то не может просто потому, что ты с ним не знаком?

Нет, я этого не утверждаю. Я хочу узнать, чего такого может apparmor, чего не может ядро, нативно, путём разделения по юзерам?

Ещё мне интересно, каким образом это работает, если вообще ЭТО работает, а не является костылём, прибитым к

this  API:  inotify_init(2)  (or  inotify_init1(2)),  ino-
       tify_add_watch(2), inotify_rm_watch(2), read(2), and close(2).

Ещё мне интересно, каким образом это работает, если вообще ЭТО работает, а не является костылём, прибитым к

На inotify это сделать невозможно — во-первых, система раком встанет, во-вторых, евенты теряться будут. А работает оно потому что сидит в ядре.

С помощью inotify этого узнать нельзя. Для этого есть более удобные средства, например atop с логгированием.

ФС мониторить? Ну-ну, удачи.

В винде, кстати, это всё есть из коробки.

зачем Руссинович filemon придумал? Дурачёк же!

ФС мониторить? Ну-ну, удачи.

Мониторить надо не фс, а дисковую активность.

зачем Руссинович filemon придумал? Дурачёк же!

Под нагрузкой его запусти, а я посмеюсь.

Ну вот и считай, что кому-то уже мало. Почему ты решил, что твой юзкейс, покрываемый нерасширяемым решением, пригоден для всех?

потому-что никто не озвучил таких юзкейсов, в которых нужно ACL. (не считая юзкейса «как в маздае»).

Где именно оно отключено по дефолту?

в ext3/4 по дефолту монтируется noacl. Конечно, в каких-то дистрах могли и подправить, я не знаю. В RH & Debian noacl, если ничего не поменяли.

Я могу привести пример, где оно включено по дефолту, и чуть ли не каждый первый ман в инете советует его выключить. Ты опять распространяешь свой опыт администрирования локалхоста на промышленные решения?

ну ты если можешь — бери и приводи. Чего ждёшь, как девочка, пока попросят?

Нет, я этого не утверждаю.

Объясни мне почему ff, запущенный из-под моего пользователя, не имеет доступ к моему хомяку.

Я хочу узнать, чего такого может apparmor, чего не может ядро, нативно, путём разделения по юзерам?

Он может без разделения по пользователям. И мне не нужно объяснять девушке, брату и гостям, почему ff нужно запускать от другого пользователя (а у каждого должен быть для этого свой пользователь для браузера по твоей теории), почему он выглядит как говно в их окружении и как работать с файлами из браузера.

Мониторить надо не фс, а дисковую активность.

мониторь активность, я разрешаю. Просили мониторить ФС, чего лезешь?

зачем Руссинович filemon придумал? Дурачёк же!

Под нагрузкой его запусти, а я посмеюсь.

т.е. ты признаёшь, что мониторинга ФС искороппки в венде не было и нет? Именно это я и пытался сказать.

т.е. ты признаёшь, что мониторинга ФС искороппки в венде не было и нет?

Мониторинга ФС в общем случае нет нигде, из коробки есть мониторинг дисковой активности по процессам.

потому-что никто не озвучил таких юзкейсов, в которых нужно ACL.

Ограничить доступ браузера к моим данным чем тебе не юзкейс? Твой вариант с разделением по пользователям работает на локалхосте и серверах, он не расширяем и костылен на десктопе. AppArmor может задать правило для всех пользователей, его конфиги можно перенести в другую систему.

В RH

RHEL во время установки предлагает как оно будет после установки и ЕМНИП вариант по умолчанию как раз включено. Где-то тут на ЛОРе кто-то удивлялся точкам в правах файла.

Объясни мне почему ff, запущенный из-под моего пользователя, не имеет доступ к моему хомяку.

не знаю. Если UID'ы совпадают, то это явно не нативный контроль ядра, а прибитый слева костыль. Или в ядре есть ещё одно, неведомое средство контроля прав?

Он может без разделения по пользователям. И мне не нужно объяснять девушке, брату и гостям, почему ff нужно запускать от другого пользователя (а у каждого должен быть для этого свой пользователь для браузера по твоей теории), почему он выглядит как говно в их окружении и как работать с файлами из браузера.

Ну во первых, по моей теории, браузер вовсе не должен быть у каждого свой (хотя у моей жены — свой. Нам так удобнее).

Во вторых, когда же ты наконец расскажешь, КАК это разделяется? Можешь man apparmor процитировать, если сам сказать не в состоянии.

Или в ядре есть ещё одно, неведомое средство контроля прав?

да, называется selinux и apparmor

Мониторинга ФС в общем случае нет нигде, из коробки есть мониторинг дисковой активности по процессам.

lsof не то? И да, Over9000 гуёв в Linux'е тоже есть таких. Или в венде что-то особенное?

Извини, я просто не в курсе, что там ваш говнософт придумал.

у меня ваниль

# grep -Ei 'apparmor|selinux' /boot/config
5671:# CONFIG_SECURITY_SELINUX is not set
5674:# CONFIG_SECURITY_APPARMOR is not set

lsof не то?

Что ты бросаешься из крайности в крайность? Это список открытых дескрипторов, а не мониторинг. В общем, с inotify ты слился, просто признай это.

Или в венде что-то особенное?

Там есть искоробочный аналог atop'а с логгированием и графиками. Этого более чем достаточно для мониторинга аномальных ситуаций. Потом в случае чего можно разбираться _локально_ с помощью filemon и других спецутилит.