Remote DoS в NFS сервере

Хоть кто-нибудь у нас выставляет nfs сервера в инет? Хотя в забугорье - вполне нормальное дело.

По статистике, наибольшую опасность представляют собственные сотрудники организаций, внутри ЛВС...

ПЕСЕЕЕЦ!!!!

Подумаь только... а ведь еще полгода назад я на полном серьезе был уверен, что в качестве сервера лучше использовать бздю...
Но с тех пор я стал более умным и опытным и на серваках у меня теперь строго линукс, кроме случаев древнего экзотического железа (нет-бзде) и прозрачного фаерволла (опенок).

Хе-хе. Линукс - не панацея. Cisco тоже считалась железобетонной. До поры до времени.

Как говорится, идеальной системы небывает.

а это не то же самое что уже обсуждали неделю назад ?

Ничего страшного.. - "freebsd-update fetch && freebsd-update install" Всего-то делов..

> Ничего страшного.. - "freebsd-update fetch && freebsd-update install" Всего-то делов..

Если сервак ранешье не завалят

>По статистике, наибольшую опасность представляют собственные сотрудники организаций, внутри ЛВС...
Это да, по статистике ...
Зато эти "сотрудники" в пределах досигаемости, им и морду лица отрихтовать можно.

опопсела что-йто фряха. деццкие ошибки

>...эти "сотрудники" в пределах досигаемости, им и морду лица отрихтовать можно.

ты сначала найди кто именно тебя поимел, да в тренажерный зал сбегай пару раз - а то рихтовалка отпадет, герой блин.

>да в тренажерный зал сбегай пару раз - а то рихтовалка отпадет, герой блин.

Я предлагаю обойтись за один раз. Сбегал->взял штангу->приласкал всех подряд :)

Это FreeBSD-only?

Что-то в последнее время только и идут новости о найденных ошибках безопаснсти во FreeBSD. Я вот живу на OpenBSD и проблем не знаю.

>Я вот живу на OpenBSD и проблем не знаю.

-Видишь суслика ?

-Нет

-Вот и я не вижу, а он есть ....

> а это не то же самое что уже обсуждали неделю назад ?

Да, то самое, про что бздящие насчет линка на DoS-сплоит орали "хаха линк на секлаб - вот умора нашли кому верить". Чой-то во FreeBSD дыры косяками ходят, а я то думал какая классная секурная система, как я ошибался, еще как оказалось и убогая(UFS тормозная, журнал UFS обещают в 7-ой версии, LVM нету, поддержка железок фиговая, аналога grsecurity нету, оракел без плясок с бубном не прикрутишь) - все-таки правильно сделал, что выбрал Linux(Debian/RHEL).

Синдром неуловимого Джо

А ошибочка то ламеркская :)

Отныне считаем , что НФС в фряхе не работает!

>Да, то самое, про что бздящие насчет линка на DoS-сплоит орали "хаха >линк на секлаб - вот умора нашли кому верить". Чой-то во FreeBSD >дыры косяками ходят, а я то думал какая классная секурная система, >как я ошибался, еще как оказалось и убогая(UFS тормозная, журнал UFS >обещают в 7-ой версии, LVM нету, поддержка железок фиговая, аналога >grsecurity нету, оракел без плясок с бубном не прикрутишь) - все->таки правильно сделал, что выбрал Linux(Debian/RHEL).

Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL) против кол-ва найденных уязвимостей в FreeBSD? Ну а насчет крутого и устойчивого дебиановского аналога nfs сервера можно пичитать здесь: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350020

>Отныне считаем , что НФС в фряхе не работает! А где он вообще работает?

> Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL) против кол-ва найденных уязвимостей в FreeBSD? Число баг в базовой системе фри vs число баг в дистрибутиве Debian(2xDVD ~9GB)?

> Ну а насчет крутого и устойчивого дебиановского аналога nfs сервера можно пичитать здесь: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350020

http://www.debian.org/security/2006/dsa-975

This vulnerability isn't present in the _kernel_ NFS server.

А кому этот тормозной юзерспейсовый NFSD нужен?

>Отныне считаем , что НФС в фряхе не работает! А где он вообще работает?

В Linux работает, стабильный ядерный NFSD.

>А кому этот тормозной юзерспейсовый NFSD нужен?

Раз есть пакет, значит его кто-то использует. Хотя кому этот нфс вообще нужен?

> Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL)
> против кол-ва найденных уязвимостей в FreeBSD?

а что тут прикидывать ? ядро да обвязка разная - остальное то все практически один в один тоже самое

> Раз есть пакет, значит его кто-то использует. Хотя кому этот нфс вообще нужен?

Ну вот тот кто использует того и проблемы. В Linux(ядре) есть только один NFSD, ядерный, остальное от лукавого. ;)

Сразу скажу что не спец в сист. программировании и прочих подобных делах, но: разве основная идея выноса разных процессов из ядра в userspace заключается не в том что б повысить безопасность/стабильность системы в целом? типа завалили/глюкнул процесс - а ядро живо и спокойно обслуживает другие процессы?? Если это так, то почему это не срабатывает? падает процесс и валит за собой ядро.

> разве основная идея выноса разных процессов из ядра в userspace заключается не в том что б повысить безопасность/стабильность системы в целом?

Основная идея заключается именно в этом. Побочный эффект - тормоза за счет накладных расходов на переключение userspace<->kernel. Вспомнить хотя бы зачем во FreeBSD юзерспейсный тормозной natd засунули в ядро во фре 6.0.

> Если это так, то почему это не срабатывает? падает процесс и валит за собой ядро.

У фри, насколько я знаю, NFSD в ядре(для производительности), поэтому разыменование нулевого указателя и приводит к kernel panic.

Вот что значит, когда ОС делают профессионалы.