В одной маленькой, но гордой стране было, как водится, правительство. А у правительства были сайты. И у разных других государственных органов тоже. А чтобы за ними всеми ухаживать, был специальный датацентр. И все там было сделано по науке. Снаружи файрволлы очень умные, внутри фейковые IP с NAT'ом, и такое разграничение доступа, что иногда даже на соседнюю машину в той же подсети не попадешь, пока дырочку специльно не проделают. И мониторинг всякий, чтоб если враги как-нибудь пролезут, то их бы сразу видно было. И инженеров тьма. Обслуживают это всё, патчи, производителями рекомендуемые, ставят, и всё такое. Правда, пока они там разберутся, кто за что отвечает, недели три-четыре пройти может, ну да речь не о том.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это былслонёнок MS. Но если немножко подумать, с таким же успехом там мог стоять какой-нибудь Солярис или Линукс. В них тоже бывают дырки, представьте себе.
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это был
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
Tags:
no subject
А вообще просто зарулить 25-й исходящий порт на промежуточный сервер с хорошим антиспамом.
no subject
no subject
no subject
Найти специалиста, который быстро пропатчит сервис в open-source решении не дешевле, чем специалиста, который найдёт решение для win*
на этом уровне, разница уже не в платформе, а в способностях управляющих.
Для open-source решении, нужно знать людей, кто на такое вообще способны, и иметь к ним подход
для фирменого - иметь рычаги для давления на фирму.
В общем случае правительства, на фирму надавить может быть проще. Если, конечно, фирме интересен рынок этой страны.
no subject
no subject
Помнится, когда-то давно, контора в котрой я работал, решила таки протянуть выделенку, и поставить хороший сервер под всяческие интернет-сервисы. Сервер купили HP. Потмоу что под словами "хороший сервер", те, кто покупал железо, понимали "брендовый сервер". Тогда это было HP NetServer LC-какой-то там. EISA шина, SCSI диски, и всякое такое.
Конечно ставить и настраивать систему отдали провайдеру. Они же специалисты. Я тогда ваще про юниксы только слышал краем уха.
Думаю, можно найти во FreeBSD sourcebase тот патч, который делал ovod@dipt, на ядро, чтоб фря увидела толи контроллер SCSI, толи еще что-то на EISA шине этого сервера. Несколько лет позже, я находил этот патчик в /usr/src лежащий отдельно, и даже не поленился глянул в ChangeLog - они в следующей ревизии систему этот патч включили в основную ветку.
Windows NT, кстати, ставилась "из коробки". К серверу прилагался диск настроек и подробные инсрукции, как на наго ставить Win*, OS/2, NetWare, SCO Unix, итд.
Абстрактная "возможность самостоятельного поиска решения" - это хорошо. Но людям нужно готовое решение. Отсутсвие "под рукой" людей, которые способны разобраться в сырцах, может
1. оочень высоко поднять цену решения
2. и увеличить время
На тот момент, людей, которые могли такое сделать, в городе было, ну пара-тройка человек. На сегодня, думаю тоже. Это не Москва.
Есть еще одна история, когда в том же городе, ни один "юниксоид", ни на одной платформе не смог решить задачу хитрой раздачи потокового Video. Заказчик за ценой не стоял (в пределах разумного, конечно). Microsoft Support через несколько дней после обращения, выдал пошаговые инструкции, что из компонент добавлять, и как их настраивать, чтоб получить результат. Кроме цены лицензии, заказчик не заплатил ни копейки. Заказчику всёравно было, кому отдавать деньги. Чесслово. Им нужно было решить задачу. Юниксоиды, кстати, потратили больше времени суммарно. И так сходу, просили больше денег. Потому как специалистов, способных на такие извраты, опять-же, в городе было всего человек пять. И цену они себе знают.
Так вот, повторюсь - ключевой момент - управление.
Еще есть такой хороший показатель, для простых людей "цена владения". Очень часто, Microsoft Solutions, получаются дешевле. За счет массовости.
no subject
no subject
Но каким-бы это внутренее убеждение не было, люди часто хотят тривиально экономить деньги и время.
no subject
no subject
Опять-же, у разных людей разные пути экономии, даже при одинаковых внутрених убеждениях.
no subject
no subject
Решение уже принято. Даже если этого человека убрать, а поставить другого, ситуация будет... Другая. Но не факт, что лучше. С прикладной-практической стороны.
Да и лучшесть идейной стоороны, тоже не доказана.
Сложно аргументировать "личные внутрение убеждения". Да и не нужно, если вдуматься.
no subject
no subject
no subject
no subject
перефразирую:
Кто виноват: человек, который организовывал работу на MS Solution, и не организовал поддержку от MS с достаточным уровнем оперативности.
Что делать: по возможности решать своими силами, искать специалистов которые смогут залезть во внутрености IIS, и отловить эту заразу на этапе как она пролезает, парралельно, таки озаботиться сервисом MS для таких случаев.
no subject
no subject
что делать - быстренько собрать параллельный датацентр на ПО альтернативного производителя.
no subject
В связи с т.н. "историей Дилевского", хочу сказать, что если вы - правительство России (или любое другое правительство, или представитель руководства страны), который хочет (или, скажем мягче, готов попробовать) использовать Linux в государственном процессе, но не знает, с чего начать, я готов встретиться, рассказать и показать. Более-менее в любые выходные. Небезвозмездно, то есть за деньги. =)
Пока - только в пределах Европы и ближайшего Востока. Ну, может еще Китай, куда я все равно мечтал поехать.
Если таких правительств (премьеров, президентов и глав хунт) наберется несколько человек, будет еще лучше!
Комменты оставлять тут.
no subject
no subject
%-)))))
no subject
no subject
no subject
И заменить ее решительно нечем.
no subject
прямо в параллель к дискуссии про свободное ПО в государстве:
http://exler.livejournal.com/466014.html
no subject
no subject
no subject
no subject
Лечить бессмысленно, пока не заткнута дырка в системе. Оно опять приползет.
по процессу
no subject
с учетом апдейта :))
Насколько я понимаю, крупные производители (дистрибьюторы) предлагают такого рода услуги. Сравнить кто что предлагает, подсчитать цену, добавить вероятность возникновения и критичность.
Если в итоге альтернативные платформы окажутся дешевле, подсчитать цену перевода датацентра на другую платформу. Подумать, есть ли смысл переходить. Работа, грубо говоря, для управленца и экономиста :)
уж насколько у нас узкая область (медицинские лаборатории), и высока цена перехода на другую систему автоматизации (непрерывный процесс), но и тут случается, что от одного решения отказываются, и внедряют альтернативное. По вполне экономическим причинам.
no subject
no subject
не убивать, а застопорить процесс трояна можно?
не застопорить (если в нём есть проверка запрос-ответ, то не подходит), а понизить приоритет до никакого?
приползает по HTTP? выделить под почту отдельные машины без IIS можно?
положить в то место, куда он пишет свой .exe, другой (безвредный) файл, который нельзя удалить?
no subject
Дима, ты забыл, как переводится IIS? Это не веб-сервер, это монстр типа "все-в-одном", куда входит и SMTP. Пишуший логи в формате от HTTP-сервера, за что его авторов надо медленно убить.
Письма, сгенерированные на веб-сервере, обычно отправляются только вот этой вот штуковиной. Альтернативыне способы отправки тербуют переделки прикладного софта.
P.S. правильно настроенные винды вообще не дают писать кому попало куда попало. В том числе, и вирусам. Проблема в том, что очень мало кто умеет их правильно настраивать :)
no subject
рубить вход по 80 порту на предмет просовывания заразы.
на выходе - по 25 незнамо от кого внутри...
no subject
Если это местные, то прижать их проще простого.
no subject