| 1.1, Аноним (-), 22:18, 20/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов,
А вот это очень круто. PCI DSS заставляет крутить на всех важных хостах Snort или Suricata, которые тормозят и греют воздух, проверяя, не применяется и к Linux-серверу атака на NTLM и прочие важные вещи. Эксплоиты в их правила попадают сильно позже, чем закрываются обновлениями безопасности.
| | |
| |
| 2.3, Кирилл (??), 00:17, 21/05/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зачем вы на хосты ставите сетевые IPS/IDS?
Свосем наркоманы?
| | |
| |
| 3.8, Аноним (-), 10:25, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Зачем вы на хосты ставите сетевые IPS/IDS?
Standalone режим у них тоже есть. В централизованном режиме нагрузка сильно не снизится, правила всё равно проверяются на хосте. Ставим, потому что требования PCI DSS.
| | |
| |
| 4.14, Аноним (-), 16:59, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.
| | |
|
|
|
| 1.2, sage (??), 23:39, 20/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
| | |
| 1.5, cmp (ok), 07:22, 21/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.
Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.
| | |
| |
| |
| 3.7, Аноним (-), 10:13, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
И я тогда наверно тоже не понимаю "эту безопасности".
Безопасность, в моих понятиях, это когда у каждого процесса необходимое и достаточное количество прав, а шаг в лево или в право, сразу, как минимум, расстрел процесса и сообщение в логах. В особых случаях, где работа процесса особо критична, его можно не убивать, а просто послать сообщение.
| | |
| |
| 4.10, angra (ok), 10:32, 21/05/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
| | |
| |
| 5.11, Аноним (-), 10:50, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Удачи тебе в описании всех прав для процесса. У тебя явно очень
> много свободного времени и нет начальства.
Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить /bin & /usr/bin если можно / & /usr монтировать ro и kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех процессов.
В теории идеалист, и желал бы необходимых и достаточных правил для всех процессов. RSBAC от Grsecurity с gradmin могут самообучаться. На практике, пока начальство думает что безопасность == мозготрах, более чем точное написание сетевых фильтров для процессов не делаю.
| | |
| |
| 6.25, Аноним (-), 23:49, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить
> /bin & /usr/bin если можно / & /usr монтировать ro и
> kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех
> процессов.
Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.
| | |
|
| 5.19, grsec (ok), 01:25, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.
| | |
| 5.22, cmp (ok), 12:23, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.
Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.
| | |
|
|
|
| 2.9, angra (ok), 10:29, 21/05/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
| | |
| |
| 3.15, Аноним (-), 22:01, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.
| | |
| |
| 4.16, Crazy Alex (ok), 22:38, 21/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
| | |
|
| 3.23, ано (?), 20:13, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
> пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
> ли это, что ненужно и оповещать экипаж о факте заполнения отсека
> водой? Помедитируй над этим вопросами.
Про пробоины уже давно все описано в должностных инструкциях
А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить
Вы не находите, что такие инструкции для боцмана - чушь ?
| | |
|
| 2.24, Аноним (-), 23:46, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Кстате зачем отслеживать аномальную активность, а не запрещать ее?
Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.
| | |
|
| 1.17, RomanCh (ok), 22:50, 21/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
| | |
| 1.18, grsec (ok), 01:21, 22/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,
ИМХО велосипед.
| | |
| |
| 2.21, Аноним (-), 04:37, 22/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?
| | |
|
|
