Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Кастую Саныча

Ну на самом то деле что это за баг для работы которого надо срециально готовить тачку, менять значения в конфигах? Если бы оно работало из коробки так сказать :), это было бы да...

Где-то я это уже слышал... Баян-с?

>Где-то я это уже слышал... Баян-с?

Это был ынтрерпрайз ping-of-death

>Где-то я это уже слышал... Баян-с?

Трёхрядный. Склероз модераторов в действии.

тюнинг сервера - западло не для настоящих пацанов? Думаю на большинстве веб-серверов под солярой этот параметр увеличен. Так что баг вполне неприятный.

>Баян-с?

Нет, это еще один глюк из той же серии.

хотел што-нить абиднае про саляру сказать, он не буду - саныч покусает...

> Думаю на большинстве веб-серверов под солярой этот параметр увеличен.

Ошибаешься, на большинстве веб-серверов под солярой на этот параметр все забили и не задумываются даже о нем.

На ЛОР-е, как обычно, один написал столетней давности баг, другой не проверил новость, печально...:)

Sun Alert ID: 200864 Title: Security Vulnerability in the TCP Implementation of Solaris Systems May Allow a Denial of Service When Accepting New Connections While Undergoing a TCP "SYN Flood" Attack Product: Solaris 8 Operating System, Solaris 9 Operating System, Solaris 10 Operating System Category: Security Release Phase: Resolved Resolved Date: 06-May-2008

Ох уж это форматирование...:(
Sun Alert ID: 200864
Title:   Security Vulnerability in the TCP Implementation of
         Solaris Systems May Allow a Denial of Service When
         Accepting New Connections While Undergoing a TCP "SYN
         Flood" Attack
Product: Solaris 8 Operating System, Solaris 9 Operating System,
         Solaris 10 Operating System
Category:             Security
Release Phase:        Resolved
Resolved Date:        06-May-2008

Прошу прощения за вопрос не в тему. Есть ли какие типовые решения под солярис, которых под линукс нет? В каких случаях солярис предпочтительней использовать, чем линукс?

> В каких случаях солярис предпочтительней использовать, чем линукс?

Если Вы - Саныч

CIFS сервер + ZFS вместо samba + lvm c райзером.

а что с cifs в линуксе какие-то проблемы?

> lvm c райзером.

ReiserFS в солярисе??? 0_0 Дай линк на ман, позарез нужно уже с полгода как!

Вы вестимо не так поняли, речь шла о GNU/Linux с установленным LVM + ReiserFS, а не о Sun Solaris...:)

В GNU/Linux появился ядерный CIFS сервер??;) Если не затруднит ссылку пожалуйста дайте, я наверное что-то пропустил...:-\

cifs в ядре соляры, и плотно интегрирован с zfs и nfs.

>cifs в ядре соляры, и плотно интегрирован с zfs и nfs

Саныч, поясни что этот пасаж означает??? Что именно в смысле CIFS сервера там в ядре и интегрировано?

CIFS в ядре как у microsoft(r) windows(tm)? А почему бы тогда не использовать ее для этих целей? Оно дешевле чем солярис в обслуживании и производительнее. Да еще, оказывается, и надежнее.

Вы так сложно излагаете свои мысли, что их даже трудно понять, что Вы написали во втором вопросе своём??:-\

Что именно из "CIFS сервера" находится в ядре? А так же в чем состоит интеграция с зфс?

Из того что я знаю: ZFS и DTrace. Если почитать рекламки от Сан, наверняка ещё что-то найдётся :)

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

Тоже, что и у NFS сервера например, тоже и у CIFS сервера, если Вам интересно, как и что, то исходники доступны, интеграция состоит в том, что можно экспортировать файловую систему по CIFS через ZFS интерфейс, без использования сторонних продуктов вроде Samba, для этого, просто задаётся опция для файловой системы - zfs set sharesmb и всё она начинает экспортироваться CIFS сервером...:)

CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10, да там будут русские буквы, будут прова доступа в стиле NT ACL-ов, можно даже его интегрировать в AD будет с авторизацией...:)

О! Раз Вы в теме, поясните еще пару моментов, если не затруднит...

Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов?

Как рулить такой "самбой"???

ЗЫ Извините, за глупые вопросы, но я с солярой мало знаком.

"успешное использование ошибки требует, чтобы переменная "tcp_conn_req_max_q0" ndd(1M) имела значение выше, чем 1024, используемое по умолчанию." (c) Это новость? Шаман, ты че?

>Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.
>Bebop

Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего [beeeeeeeeeeeeeeeeeeeeeeeeeeeeeeep]?!

> А вот NFS-Server ядерный вас не смущает?! Нет?

Кто сказал, что не смущает? Очень даже... Как увижу. краснею сразу и отворачиваюсь.

>Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего

Отучаемся думать и говорить за всех!

Есть чего по делу сказать? Нет? Тогда [beeeeeeeeeeeeep].

Bebop - ты вообще не в теме - зело ты мудак :) Сколько воздуху было попорчено что наконец то в линухе нЫфЫсЫ в ядре и теперь то мы дадим стране угля на скорости проводов! :) Эти хотят отгружать и по цивс ...
Да ничего страшного - когда самбу 4 завенут в ядро - ты первый же орать будешь что мы передовее всех передовых - тут таких уродов 95%

>CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

уважаемый ZANWER, а подскажите когда этот апдейт будет? или придется на сервер OpenSolaris заливать, или коммерческую поддержку покупать что-ли? Я щас вот на нотик поставил 10-ку зарегестрировался на сайте Sun апдейты безопасности только доступны.

Ананимус ты похоже беспросветно туп - глаза открой пошире и посмотри что именно я спрашивал. Мне фиолетово про nfs. Я спрашивал про cifs в соляре и мой вопрос был в НЕ том "на кой это надо" а в том как это там сделано и как этим рулят.

А что касается всякой дряни в ядре - так ты можешь сколько угодно портить воздух, мне поровну. Хотя я действительно считаю, что пользовательским сетевым сервисам в ядре не место. Вот только обсуждать это не намерен.

> Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Это из серии для высоконагруженных серверов, но не будем обсуждать CIFS сервер в ядре, NFS сервер уже милион лет в ядре, да и Lustre тоже в ядре, а ещё есть TUX - веб сервер в ядре GNU/Linux, так что это оставим, как есть...:)

> Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов? > Как рулить такой "самбой"???

Конечно есть, так и нызываеться smbd, рулить CIFS сервером можно через sharemgr, так же через sharemgr управляеться и NFS...:)

Update 6 для Solaris 10, выйдет ориентировочно в ноябре этого года, возможно конечно он задержится, возможо нет, тут я нечего не могу сказать, этого незнают даже представители Sun, Вам сейчас будут доступны не только обновления безопастности, но и обновления драйверов, и Kernel Update-ы, так же будут доступны Update-ы программного обеспечения, не всего, это зависит от того, в каком статусе выпущен SunSolve билютень, некоторые будут требовать наличия платной подписки, цена подписки не велика, тем болие, Вы можете купить сервис план на один сервер, поставить Proxy Patch Server, он бесплатный и патчить хоть милион своих серверов через него...:)

>Вы можете купить сервис план на один сервер, поставить Proxy Patch Server

о-о-о спасибо за инфу ZANSWER - я честно говоря этого не знал, подписка на год действительно невелика что-то около 580$ если не ошибаюсь. Наберусь смелости и попрошу подсказать как поставить Patch Server, уж больно мне Solaris приглянулся - не хочется бросать, все что можно на работе попробую на Соляр перевести.

> CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

Откуда дровишки про in-kernel CIFS Server в Solaris 10? См. здесь: http://www.opensolaris.org/jive/thread.jspa?messageID=226805

Дровишки обещали Sun в одном из анонсов, за ссылку спасибо, буду иметь ввиду...*SUN*

Нет ещё дешевле, Basic Service Plan стоит всего 324 долара, что даже меньше чем у Red Hat для RHEL, для установки Patch Proxy Update Connection Manager-а необходимо установить вот этот патч 119789-09 - http://sunsolve.sun.com/search/document.do?assetkey=1-21-119789-09-1

> uname -imprsv
SunOS 5.9 Generic_118558-30 sun4u sparc SUNW,Sun-Fire-V490

> ndd -get /dev/tcp tcp_conn_req_max_q0
4096

Упс...