Владислав Кабак | Omegicus CIO

NebKa

Две войлочные подушки. Фото мастер-классы



читать далее »

Сумка переноска для малыша



читать далее »

Цветочки ЙО-ЙО для покрывала и подушки.

Интересная идея с аппликацией на подушке)



читать далее »

Идеи декупажа батареи.

Не нравятся Вам старые Ваши батареи? А Вы воспользуйтесь вот таким примером. Какая красота получается! А ведь сделать это так просто. Потребуется всего то салфетки трёхслойные и клей ПВА.  Такую же красоту можно сделать и на



читать далее »

Шьем сами халат КИМОНО

Что может быть удобнее легкого халата-кимоно, который так нас выручает утром после сна или вечером после принятия ванны? Если вы хотите сшить такой халат, кстати, который должен быть в гардеробе у каждой женщины, выбирайте для



читать далее »

«Сердечный» узор

 



читать далее »

Человек

По статистике лишь один человек на 2 миллиарда перешагивает порог 116 лет.


читать далее »

ОРХИДЕЯ ИЗ БИСЕРА



читать далее »

Пасхальное деревце

Автор: Антонина  Пасхальное деревце – это современная альтернатива елке, которую тщательно и с выдумкой украшают к Рождественским праздникам. В то же время, прямо из Германии, приходит к нам все более популярная мода на «тюнинг» деревьев – пасхальными яйцами, цветами



читать далее »

Мастер-класс по переделке свитера в повязку на голову.

Не пора ли нам утепляться ?:) Предлагаю Вам рассмотреть мастер-класс по переделке свитера в эту очаровательную повязочку на голову :)   Идея у мастерицы возникла от просмотра именно этой повязочки, которая была связана одной мастерицей.Я думаю, что



читать далее »

Ожерелье из шнурка и цепочки



читать далее »

Гарантированное возмездие: как работает российская система "Периметр"

Главным сдерживающим фактором Третьей мировой войны является наличие у России системы, позволяющей нанести ответный ядерный удар даже при полном уничтожении командных пунктов и линий связи РВСН. Называется она "Периметр", в США ее прозвали "Dead hand"    "Периметр"


читать далее »

Божья коровка из фома.

Мастер-класс Натальи Либерт. Достаточно часто цветочные композиции требуют дополнительных элементов, чтобы подчеркнуть красоту изделия. Божья коровка из фома станет отличным дополнением к белым ромашкам, одуванчикам и зеленым листочкам. Для начинающих рукодельниц я подготовила фото мастер-класс «Божья коровка из фоамирана своими руками». Так выглядит божья коровка из фоамирана на белой ромашке. Божья



читать далее »

Юбка детская "Комфортные складки"

Простая модель вязаной юбочки, с которой справится даже начинающая вязальщица. Следуйте описанию на нашем сайте и у вас всё получится. Размер: 7-8 лет Вам потребуется: 200 г пряжи (100% акрил) белого цвета, по 50 г



читать далее »

Сломалась стиральная машинка? Пора делать барбекюшницу

    Источник http://vk.com/yourself_do_itt



читать далее »

Кашпо из чайника, декорирование яичным кракле с декупажем

Нежная работа - кашпо для фиалок из фарфорового заварочного чайника, с использованием яичного кракле и декупажа салфетками. Работа Натальи Цынгаевой На чистую обезжиренную поверхность наклеила клеем ПВА кусочки яичной скорлупы( предварительно вымытую, очищенную от пленок и



читать далее »

Мой совет:

Пятна йода легко выводятся с помощью нашатырного спирта.


читать далее »

Анекдот

Сын пристает к отцу: - Папа! Папа! Пойдем завтра снова на охоту! - Нет! Завтра пойдем с тобой к окулисту, - сердито ответил отец, выколупывая дробь у себя из задницы. 


читать далее »

Анекдот

После магической фразы "ПОРА СПАТЬ" на детей нападает сушняк, голод и запор.


читать далее »

Анекдот

Господь наблюдает за тобой. Живи так, чтобы ему было интересно.


читать далее »

Цветы из джинсовой ткани своими руками.

Вариант 1. Вам понадобится: - джинсовая ткань - ножницы - бумага - карандаш - циркуль или небольшие круглые предметы, чтобы их обводить - горячий клей (или суперкелй) - клей-карандаш 1. Начертите на джинсовой ткани круг и вырежьте его. 2. Из бумаги вырежьте трафареты для будущих



читать далее »

Восстановление MS Server 2003 после тяжелых ранений

Автор: (c)Крис Касперски ака мыщъх MS Server 2003 - достаточно надежная и неприхотливая система, средняя наработка на отказ которой составляет несколько лет. Для борьбы с падениями народ вовсю использует Norton Ghost, Acronis True Image и другие сторонние утилиты, стоящие


читать далее »

Меховые гетры для сапог

Если вы уже по-тихонечьку готовитесь к осени, если вы достали зимнюю обувь и обнаружили на старых сапогах какой-либо дефект на голенище сапога, то не спешите нести в ремонт или выбрасывать их. Может их стоить немного облагородить?   Итак -



читать далее »

Как я распечатываю на салфетках на принтере

Занимаясь декупажем, многие сталкиваются с необходимостью распечатать нужный фрагмент декора на принтере. Конечно, у каждого мастера есть свои приемы, которые помогают ему достичь желаемого результата, но не всегда они доступны и понятны сразу. Многое приходит



читать далее »

MODx Local EDItor

Представляю — MODxLEDI (MODx Local EDItor). Программа весит 29 килобайт, позволяет редактировать основные элементы (чанки, шалбоны, сниппеты, модули и плагины), работать с файловой системой (редактировать, загружать файлы, смотреть картинки) и, конечно же, редактировать контент с



читать далее »

Анекдот

Физрук Виктор Мирославович разрешил первоклашкам 2-го сентября, называть себя по имени - просто Виктор, после услышанного за день, - Мимосралович, Милосралович, Малосралович...


читать далее »

Мешок и немного Готье

Хочу поделиться с вами моей переделкой платья. Такие я называю «мешками» за удобство и простоту. Декор тоже прост в исполнении, разве что времени требует. В общем, подробности далее.Купила в секонде джинсовое платье 58 размера (а



читать далее »

Мой совет:

Если что-то подгорело в кастрюле, можно налить на дно холодной воды и насыпать соли. Через несколько часов можно легко удалить остатки пищи. Для эмалированных кастрюль подойдет такой способ: залить кастрюлю горячей водой с добавлением ложки


читать далее »

Шьем сами фартук с оборками

Дорогие рукодельницы) Предлагаю вам сшить очень симпатичный фартук с оборочками - незаменимый предмет одежды во время хлопот на кухне. Для работы можно использовать старую одежду, к примеру, мужские хлопчатобумажные сорочки



читать далее »

Как сделать самые простые митенки

Если вы не любите или не умеете вязать это не означает что вы не можете создавать вязаные вещи. Ведь в магазинах тканей уже давно в продается вязаное полотно на метраж. Да и без него можно



читать далее »

Новогодние сапожки в стиле шебби-шик

Источник http://shabby-chic-ru.blogspot.ru/2013/12/blog-post_18.html



читать далее »

Разное

Семья из двух взрослых и двух детей производит за год 1300 киловатт – часов тепловой энергии.


читать далее »

Шпалера - стильное украшение сада

Думаю, не ошибусь, если скажу, что каждый садовод старается сделать свой дачный участок неповторимым — красивым, стильным и оригинальным. Для этого существует масса различных способов: устройство клумб, альпийских горок и рокариев, посадка всевозможных экзотических растений,



читать далее »

Наука

Бикфордов шнур горит с постоянной скоростью 1 см/с и по его длине подрывники могут прикинуть время до взрыва.


читать далее »

Деревенский домик

Нам понадобиться: бумага А4, клей, цветная бумага и картон   Скручиваем бумагу формата  А4 в трубочки, разделив ее на три части        Трубочек крутите побольше    На дно вырезаем картон и по периметру приклеиваем первый ряд трубочек. Две трубочки у нас будут



читать далее »

TOP10 ошибок администраторов Server 2003

Автор: (c)Крис Касперски ака мыщъх О, Windows, сын ошибок трудных! народное Легкость установки и управления MS Server'ом создает обманчивую иллюзию, что администрировать его проще простого. Никакой командной строки! И даже обновления устанавливаются автоматически! Настоящий рай, да и только! Почему же тогда его


читать далее »

Животные

У сомов более 27 000 вкусовых рецепторов.


читать далее »

Летнее платье со спиральными узорами

 



читать далее »

География

Из всех животных чаще всех на государственных гербах изображают льва - 29 стран. На втором месте - царственная птица орел, изображение которого присутствует на государственных символах 22 стран. Третье место в этой гонке заняли лошадь


читать далее »

Анекдот

Учительница на уроке:- Дети, назовите слово на букву...И, поглядев с опаской на Вовочку, договорила:- На букву "Х", в котором нет буквы "У".Вовочка ответил мгновенно:- Хер!


читать далее »

Мой совет:

Чтобы при разделке дрожжевого теста оно не прилипало к рукам, нужно смазать их растительным маслом.


читать далее »

Анекдот

Мальчик Петя ударил молотком по пальцам трудовика и получил пять. По крайней мере, ему так послышалось.


читать далее »

Мой совет:

Темный налет с серебряных и посеребренных изделий легко удалить следующим образом: промыть изделие в теплой мыльной воде, затем почистить его мягкой тканью, смоченной в смеси из нашатырного спирта с мелом или зубным порошком. После этого


читать далее »

Маленькие веточки с листиками из флористической ленты. Мастер-класс

Розочки, ведерко и корзинка от Елены Никитиной. Розы автор лепила из пластики. Ведро оцинкованное сделано из бумаги, покрашено серебряной краской и покрыто лаком. Очень прочное. Высота - 3 см. Корзинка связана крючком из льняных ниток, пропитана клеем



читать далее »

ФИОЛЕТОВЫЙ КОЖАНЫЙ ЦВЕТОК



читать далее »

Плетение из газет. Мастер-класс на крышку с цветным узором из трубочек

Представляю вашему вниманию работы, которые могут вдохновить на творчество любого любителя плетения из газетных или журнальных трубочек. Интересные и очень аккуратные работы принадлежат мастеру с большой буквы - Ričardas. Данные плетенки объединяет идея плетения крышки цветным



читать далее »

Летняя туника спицами с кокеткой крючком



читать далее »

Подвесочки из соленого теста

Привет! Хочу показать вам вторую мо работу с соленым тестом)  Захотелось мне сделать для дочечки и для своего любимого мужа,вот такие подвески из соленого теста Первая для мужа: Покажу её более подробно Верх подвески украсила цветком и сердечком с


читать далее »

Что будет, если не чистить зубы?

На самом деле, если перестать чистить зубы, ничего не произойдет! То, что зубная паста лучше всего очищает зубы от остатков пищи и бактерий — миф. Самое качественное очищение зубов происходит, когда мы едим яблоко или



читать далее »

Узоры крючком. Схемы

  Данный узор похож на тот, которым я вязала подставку под горячее. Только там было вязание по кругу. А вот схема представленного узора. Схема узора “Звёздочки” Набираем цепочку из воздушных петель. Первый ряд. Связав четыре воздушных  петли подъёма, вяжем пышный



читать далее »

Анекдот

Перебирала нашу семейную аптечку. Судя по ней, у нас 2 цели в жизни - успокоиться и не обосраться!


читать далее »

Мешок для сменной обуви. Своими руками. Мастер-класс

Скоро сентябрь и школьные базары во всю предлагают тетради, карандаши, ручки и многое другое. И конечно можно приобрести специальный мешок для обуви. Но мешки для сменной обуви, которые есть в продаже не радуют  разнообразием цветов и



читать далее »

Как сделать удобную плетеную корзину для сборки урожая

Любите собирать свежие ягоды из собственного сада или из ближайшего леса, тогда вам будет интересно узнать о том, как сделать удобную плетеную корзину для сборки урожая. Эта удобная корзина поможет вам ловко и быстро собрать


читать далее »

Животные

У крокодилов, как и у многих черепах, пол определяется не набором хромосом, а температурой, при которой развиваются яйца. При температуре меньшей или равной 30 градусам Цельсия в гнездах миссисипского аллигатора появляются только «девочки», а при


читать далее »

Анекдот

Я не выспалась не потому, что какая-то пьяная сволочь под моим окном песни орала. А потому, что я, блин, знала слова песен и мысленно подпевала


читать далее »

Дежавю, нейросети и спам

Автор: (c)Крис Касперски ака мыщъх Что такое дежавю, наверняка знает каждый, а кто не знает, тот может прочитать на вике, выбрав из кучи гипотез наиболее симпатичную и привлекательную (какая разница, что выбирать? все они несостоятельны), поэтому представляет интерес поговорить о


читать далее »

Обруч в стиле бохо

Новое это давно забытое старое. Если ультрасовременные украшения уже не радуют ваш глаз, то обратите свой взор на винтажные украшения. Мы уже писали про винтажные невидимки, а сегодня мы расскажем про создание винтажного обруча.   Возьмите 40 см



читать далее »

Браслет из бусин и бисера

 



читать далее »

СЕРЬГИ «ВЕНЕЦИЯ» ИЗ БИСЕРА



читать далее »

Древний Киев и Рюриковичи: от любви до ненависти

История одного из древнейших славянских городов, Киева, при всём внимании к ней, имеет множество белых пятен. Наибольшее число загадок оставляет само происхождение города, его значение в древнем Роськом государстве. Остаются тайнами и времена правления в



читать далее »

Наука

Плотность льда примерно равна плотности бетона.


читать далее »

Цветок-заколка своими руками. Мастер-класс

автор admin  Вам приходилось когда-либо заниматься флористикой? Если нет, то вы многое потеряли. Но всё можно ещё вернуть. Наш сегодняшний мастер-класс обучит вас созданию цветка-заколки своими руками. Не имея ни опыта в этом деле, ни каких-то навыков, вы сможете



читать далее »

Животные

По скорости передвижения в воде среди птиц нет равных пингвинам. Направленными наискось вниз гребками сильных ластообразных крыльев пингвин устремляет вперед свое обтекаемое тело и, плывя по-дельфиньи, доводит скорость подводного движения до 36 километров в час


читать далее »

Белый жакет от Felice

Белый жакет от Felice Белый и женственный вязаный жакет великолепно украсит вас и в праздник, и в будни. Простая поперечная вязка из изнаночных и лицевых петель придает жакету стиль и оригинальность. Атласная лента также не менее интересное украшение



читать далее »
Здесь пока пусто

Unauthorized.

TOP10 ошибок администраторов Server 2003

2011.10.08

Автор: (c)Крис Касперски ака мыщъх

О, Windows, сын ошибок трудных!
народное

Легкость установки и управления MS Server'ом создает обманчивую иллюзию, что администрировать его проще простого. Никакой командной строки! И даже обновления устанавливаются автоматически! Настоящий рай, да и только! Почему же тогда его так часто ломают?! Составив TOP10 ошибок управления Server 2003, и подробно прокомментировав каждую из них, мы надеемся помочь начинающим администраторам (хотя некоторые факты наверняка будут интересны и матерым волкам).

#1 - заплатки и обновления

Достаточно многие администраторы вообще не устанавливают никаких заплаток, считая, что никто их атаковать не будет, но это всего лишь распространенное заблуждение. Основная угроза исходит от червей, сканирующих IP адреса и выявляющих незалатанные машины, даже если это домашний сервер, на котором нет никакой конфиденциальной информации.

Обновляться все-таки надо, причем обновлять не только операционную систему, но и все используемые приложения: MS Office, Adobe Photoshop и... даже WinRAR, в которых также обнаруживаются критические ошибки, естественно, не устраняемые обновлениями от Microsoft. Следовательно, нужно составить список используемого программного обеспечения и регулярно посещать сайты производителей на предмет поиска новых заплаток.

Кстати говоря, заплатки от Microsoft содержат одну очень неприятную особенность, граничащую с ошибкой, а именно - они не проверяют номера версий замещаемых исполняемых файлов/динамических библиотек. Допустим, у нас есть две заплатки A и B, исправляющие ошибки в KERNEL32.DLL (например). Поскольку, установщик не отслеживает последовательность обновлений, то установив заплатки в обратном порядке (инсталлятор при этом даже не пикнет!), мы закроем дырку A, но откроем дырку B, поскольку, KERNEL32.DLL (как и любая другая динамическая библиотека) всегда замещается целиком, а не частями!

При автоматическом обновлении никаких проблем не возникает, т.к. заплатки ставятся в том порядке, в котором они выпускаются, но вот если мы сохраняем заплатки на локальный диск или качаем их вручную, то необходимо в "свойствах" файла найти внутреннюю версию и дату его создания, составив "план" последовательности установки заплаток. Впрочем, и тут не обходится без подводных камней. Иногда Microsoft выпускает одни и те же заплатки по нескольку раз. Допустим, сначала выходит A, исправляющая ошибки E1, E2, E3, после чего выходит B, исправляющая E4, E5, E6, а затем... выходит обновленная заплатка A', исправляющая все те же E1, E2, E3, а обновленной заплатки B - нет. Установка A' поверх уже установленной B открывает дыры E4, E5, E6. Так что с заплатками нужно быть очень внимательными и всегда читать бюллетени безопасности, чего практически никто делать не собирается.

В целях экономии трафика ряд Интернет-провайдеров устанавливает свои собственные сервера обновлений, предлагая клиентам прописать в настройках Windows Update их адреса. Соблазн на самом деле очень велик, но угроза быть атакованным еще выше! Microsoft прилагает огромные усилия для защиты своих серверов, вкладывая в безопасность нехилые деньги. Что же касается провайдеров, то... атаковать их порядка на три проще (и ведь их атакуют, подсовывая троянизированные обновления).

Выход: скачивайте заплатки только у самих поставщиков, при этом чтобы избежать вероятности "подмятия" доменного имени с перенаправлением на другой узел, не используйте DNS-сервер провайдера. Установите свой собственный DNS, напрямую обращающийся к корневым доменным серверам по TCP-протоколу и заблокируйте 53-й UDP-порт на брандмауэре для отсечения подложных DNS-ответов.

Ветки реестра

Рисунок 1. Ветки реестра, ответственные за установку адреса сервера автоматических обновлений.

#2 - баги в процессорах

Ругая Windows (и отчасти Linux) за то, что программное обеспечение наших дней дыряво как ведро без дна, мы почему-то забываем об аппаратной оснастке, считая "железо" совершенно непогрешимым. Увы, процессоры не святые. Самая громкая ошибка в Pentium была обнаружена в 1995 году и продемонстрирована на следующем примере: x - (x / y) * y, результат которого (если только y != 0) должен быть равен нулю, однако при определенных значениях x и y (x = 4195835, y = 3145727), процессор выдавал... 256! Потрясающая точность, не правда ли?!

Журналисты подхватили сенсацию, вынудив Intel пойти на замену процессоров, чего она изначально делать не хотела, доказывая, что людям, далеким от математики, точные вычисления не нужны, а вероятность проявления ошибки на произвольном (а не умышленно подготовленном) наборе данных близка у нулю.

С тех пор сообщений об ошибках в ЦП как будто бы не отмечалось. И потому заявление Theo de Raadt'а (ведущего разработчика Open-BSD), что Core2Duo содержит огромное количество ошибок, многие из которых допускают удаленный захват управления, стало очередной сенсацией года ("Intel understates the impact of these erraata [sic!] very ignificantly. Almost all operating systems will run into these bugs" - http://marc.info/?l=openbsd-misc&m=118296441702631).

Часть ошибок может быть исправлена программным путем (и разработчики OpenBSD сделали это, чего нельзя сказать о лагере NT-подобных систем), часть - обновлением микрокода процессора (для чего, в свою очередь, необходимо обновить версию BIOS, если только разработчики прошивки включили в нее обновленный микрокод), но все эти меры лишь уменьшают вероятность атаки, а оставшиеся ошибки исправляются исключительно сменой процессора на более новый (кстати говоря, также содержащий ошибки, перечисленные в секции "errata" обновленной спецификации от Intel, распространяемой на свободной основе).

Выход: почаще обновлять прошивку BIOS, в критических случаях использовать OpenBSD, разработчики которой прилагают все усилия для исправления ошибок ЦП, а еще лучше не использовать Core2Duo, поскольку это все-таки "бытовой" процессор, не отвечающий жестким требованиям серверной индустрии.

Core2Duo

Рисунок 2. Core2Duo - процессор, в котором обнаружено рекордное число критических ошибок.

#3 - излишняя сложность

Чем сложнее система, тем выше вероятность внезапных отказов и тем проще атаковать ее, найдя слабейшее звено в линии обороны. Если администратор не пользуется удаленным доступном к реестру, зачем оставлять эту службу включенной?

IIS - бесспорно, могучая вещь, однако так ли он необходим небольшой организации, обслуживающей сотни (ну, пускай даже тысячи) подключений в день? Сайт с движком на PHP - отличная штука, это современно и круто! А ошибки в скриптах (или самом PHP-интерпретаторе?). Почему бы не попробовать установить что-нибудь наподобие SMALL HTTP сервера? Бесплатный, поддерживает практически все функции, которые только могут быть нужны, обладает приятным интерфейсом, не требователен к системным ресурсам...

А ситуация, когда начинающий администратор вместо простой одноранговой сети, обслуживающей с полсотни сотрудников, разворачивает контроллер домена, работающий по принципу "сейчас опять все развалиться" - вообще живая классика.

Вывод: система должна быть предельно простой и не содержать ничего лишнего (тем не менее, стоит помнить, что иногда простота хуже воровства).

#4 - режем "в живую" без наркоза

Практически все администраторы устанавливают заплатки непосредственно на "продакшен" сервере (а в случае активной службы Windows Update это происходит автоматически), даже не задумываясь, какому они себя подвергают риску, не говоря уже про обновление прошивки BIOS.

В лучшем случае после установки очередной порции заплаток возникают разные мелкие конфликты. Неприятные, но вполне совместимые с жизнью. Гораздо хуже, если система вообще откажется грузится или "забастуют" критические приложения сторонних разработчиков, что, кстати говоря, более чем вероятно и очень часто после выпуска заплатки Microsoft следом за ней выпускает кучу инструкций по устранению конфликтов. Естественно, это относится только к популярным программным комплексам, хорошо известным на Западе. А как быть, если приложение складского учета, упакованное разработчиками неимоверно крутым протектором (чтобы злые хакеры не взломали) скручивает дулю и выдает голубой экран смерти или "всего лишь" аварийно завершает свою работу сразу же после запуска?

Выход: создать точную копию основного сервера, устанавливая заплатки/обновления сначала на ней и если после более или менее полного цикла тестирования никаких побочных эффектов не выявляется - переносить заплатки на основной сервер. Конечно, это требует дополнительных расходов и при "тугом" бюджете сервер-клон можно организовать и на виртуальной машине, не забывая, что она работает с виртуальным железом и потому потенциально не способна выявить ряд конфликтов. Однако это все же лучше, чем совсем ничего.

Экспериментальный Server 2003

Рисунок 3. Экспериментальный Server 2003, воздвигнутый под VM Ware.

#5 - пакеты обновления и дистрибутивы

Популярный способ "поднятия" упавшего сервера - установка операционной системы поверх уже имеющейся. Прием не то, чтобы хороший или красивый, однако в жестких временных рамках и отсутствии резервной копии - это единственно возможное решение.

Проблема в том, что после установки Service Pack'ов "родной" дистрибутив системы отказывается устанавливаться поверх более новой версии, предлагая либо вообще отказаться от инсталляции, либо удалить старую систему и поставить новую с нуля, переустанавливая все остальные программы, на что может уйти несколько рабочих дней (и бессонных ночей!)

К счастью, пакеты обновления могут быть интегрированы непосредственно в сам дистрибутив (чему посвящено огромное количество статей, так что мыщъх не будет повторяться, тем более, что описать процесс интеграции в двух словах все равно не получится). Желательно обновлять дистрибутивный диск при каждой установке Service Pack'а, чтобы потом лихорадочно не интегрировать его впопыхах, рискуя окончательно угробить систему, которой только полная переустановка и поможет.

Как вариант, можно заблаговременно создать образ системы с помощью штатной утилиты ntbackup.exe, а затем восстановить его с помощью все того же ntbackup.exe. Однако следует помнить, что программы, установленные после создания образа, при этом перестанут работать, а изменения настроек системы также окажутся утерянными. Так что, резервируйтесь почаще!!!

Если же система вообще отказывается запускаться, то... не беда. Распаковываем содержимое архивного файла (что можно сделать с помощью все того же ntbackup.exe) и, запустив консоль аварийного восстановления, перезаписываем файлы вручную.

Сохранение состояния системы

Рисунок 4. Сохранение состояния системы при помощи штатной утилиты ntbackup.exe.

#6 - он слишком много доверял...

Практически все Web/FTP/Mail-сервера по умолчанию устанавливают себя с привилегиями администратора, а то и системы (system), получая доступ ко всем файлам, которые только есть. Как следствие - любая ошибка конфигурации сервера, любой дефект PHP/Perl-скрипта, любая дыра самого сервера позволяет атакующему получать доступ к секретной информации или уничтожать данные.

Как защититься от этого? Очень просто! Достаточно запускать сервер из-под ограниченного аккаунта, имеющего доступ к тем и только к тем файлам, которые ему необходимы. Что это за файлы?! Во-первых, файлы самого сервера, во-вторых, публичные файлы, раздаваемые пользователям. Конечно, если в сервере или скриптах имеется дыра, то злоумышленник по-прежнему сможет изменять конфигурацию сервера, а также получать несанкционированный доступ к файлам других пользователей, не предназначенных для всяких "левых" лиц.

Тем не менее, разделение привилегий на уровне файловой системы существенно ограничивает потенциальный ущерб, наносимый злоумышленником. Кстати говоря, не следует забывать, что многие файлы по умолчанию доступны всем и потому администратору следует тщательно проверить атрибуты секретности, явно обозначив круг лиц, имеющих право на чтение/запись каждого более или менее значимого файла.

Может ли злоумышленник обойти ограничения доступа, налагаемые файловой системой? Безусловно. Но для этого ему придется найти дыру, дающую привилегии ядра или позволяющую повышать права до уровня администратора. Такие дыры действительно есть, но их сравнительно немного и Microsoft их быстро затыкает.

#7 - DEP и ASLR

Начиная с Server 2003 SP1 появилась поддержка неисполняемого стека и кучи, известная под аббревиатурой DEP (Data Execution Prevention), которая по умолчанию распространяется на все процессы (в XP же по умолчанию DEP включен только для системных компонентов).

Насколько эффективна такая защита?! Во-первых, она требует обязательной поддержки со стороны процессора, позволяющего выставлять биты NX/XD не только для целых селекторов, как это было ранее, но и на уровне отдельных страниц. Без аппаратной поддержки DEP вообще никак не работает. Во-вторых, DEP представляет собой довольно конфликтную штуку, препятствующую функционированию многих честных программ. В-третьих, вся эта защита элементарно обходится атакой типа return2libc, позволяющей атакующему вызывать API-функции, присваивающие стеку атрибуты исполняемого. Активный DEP отсекает лишь "пионерские" exploit'ы, протестированные на XP, но ни разу не нюхавшие Server 2003 SP1 и выше.

Для предотвращения атаки необходимо задействовать рандомизацию адресного пространства (Address Space Layout Randomization или, сокращенно, ASLR), реализованную в Server 2008, а также в защитных пакетах независимых производителей, работающих хоть на Windows 2000 и не требующих аппаратной поддержки NX/XD-битов. Одним из таких пакетов является Buffer-Shield, представляющий собой коммерческий порт известного проекта PaX, реализованного на большинстве UNIX-систем. Скачать бесплатную урезанную или полнофункциональную триальную версию можно с официально сайта: http://www.sys-manage.com/PRODUCTS/BufferShield/tabid/61/Default.aspx.

Активный DEP

Рисунок 5. Активный DEP на Server 2003 - это дикая головная боль на почве (не)совместимости и... никакой реальной защиты.

#8 - предсказуемость конфигурации системы

Успешность большинства атак объясняется высокой предсказуемостью конфигурации системы в установке по умолчанию. Это в мире открытых исходных текстов администратор может (и должен!) перекомпилировать все и вся, чтобы никакой хакер ни за что не догадался, по каким адресам лежат интересующие его функции.

С Windows в этом плане ситуация намного сложнее, но не полностью безнадежна. Переименование ядра - эффективный способ борьбы с rootkit'ами, определяющими адреса функций путем вызова функции LoadLibrary("ntoskrnl.exe") без проверки реального имени ядра, задаваемого через ключ "/kernel=" файла boot.ini. Рекомендуется переименовать ядро во что-то другое, например, в souriz.exe, а вместо ntoskrnl.exe положить ядро от другой версии системы, чтобы адреса экспортируемых функций отличались.

Те rootkit'ы, что правят файл непосредственно на диске, уйдут лесом, не достигнув желаемой цели (ведь ntoskrnl.exe уже никак не используется), те же rootkit'ы, что осуществляют перехват в оперативной памяти, залезут совсем не в ту степь и вызовут BSOD, что хоть и неприятно, но успешное внедрение rootkit'а было бы еще хуже.

Естественно, после переименования ядра, его необходимо обновить в кэше SFC, иначе она немедленно его восстановит, а также перед установкой пакетов обновлений выполнить откат назад, поскольку пакеты обновления (как и rootkit'ы) не проверяют реального имени ядра.

Установка системы на диск, отличный от С:, также уменьшает вероятность успешной атаки - большинство зловредных программ слишком тупы, а их создатели слишком ленивы, чтобы проверить переменные окружения, вот они и используют фиксированные абсолютные пути.

#9 - бортовой журнал капитана Немо

Реестр - крайне вредное изобретение, порождающее множество трудноразрешимых проблем. Текстовые конфигурационные файлы (традиционные для UNIX-систем) удобны тем, что в них можно оставлять комментарии и в процессе внесения изменений блокировать старые параметры символом комментария, существенно упрощая откат в случае неудачи.

А реестр?! Хорошо, если систему обслуживает всего один администратор, худо-бедно помнящий - какие параметры он менял и зачем. Когда же администраторов несколько и все они вносят изменения в реестр, работа превращается в сплошной разбор полетов "кто трогал реестр и весь его вытрогал"?

Чтобы этого не происходило, необходимо вести журнал (предпочтительнее всего на бумаге, поскольку журнал - это документ), описывающий каждое изменение конфигурации системы с указанием причин и сохранением предыдущих значений, заверенных подписью администратора. Тогда, если система начнет "выпендриваться" и вести себя нестабильно или же на ней обнаружатся черви, ломанувшиеся в широко открытые двери, всегда можно установить - кто именно их открыл и чем он руководствовался при этом.

Кстати, в нормальных фирмах у администратора есть инструкция, внятно объясняющая, какие действия он вправе выполнять, а какие - нет. Эксперименты с системой на продакшен машинах (без предварительного согласования с руководством) в общем случае строго запрещены. И это правильно!

Бумага - великая вещь

Рисунок 6. Бумага - великая вещь!

#10 - расплата за бездумность

Никакие защитные комплексы не дают 100% гарантии и от риска быть атакованным никуда не деться, увы. А потому необходимо заранее выработать четкий, хорошо продуманный и отлаженный план действий выхода из ситуации. Обнаружив на компьютере постороннюю зловредную программу, мало удалить ее из системы. Необходимо, как минимум, определить - что она успела натворить за время своей жизнедеятельности.

Помимо традиционных охранных комплексов сервер должен быть оснащен снифферами и прочими шпионами всех мастей, протоколирующих максимум возможных действий и сохраняющих результат своей деятельности на носителях однократной записи (CD/DVD-R), уничтожить которые никакой хакер не в состоянии и которые позволяет полностью реконструировать последовательность событий, прямо или косвенно связанных с атакой.

Отсутствие подобных средств существенно ослабляет безопасность системы, поскольку вспоминая слова Жеглова, можно сказать, что степень защиты определяется не стойкостью сервера к атакам, а скоростью и успешностью раскрытия всяких несанкционированных действий.

https://nebka.ru/?uid=1&post=20973