Bedo to v podstate vystihol, mam podobnu filozofiu, ze suma bezpecnostnych opatreni sa ma rovnat dolezitosti dat na servri a vacsinou staci obycajna zaloha (uz to je problem si niekedy presadit). Ja sa nerad hram na NSA u zakaznika, kde to podla mna netreba. Toto prehananie s bezpecnostou mi pripada ako keby som tvrdi, ze sietove zariadenie moze byt len Cisco a ziadne ine, pretoze je najlepsie a najbepecnejsie na svete. A veru som sa uz stretol v praxi, ze nic ine ako Cisco na sieti nemohlo byt.
Ja len doplnim, ze asi nepracujete ako spravci a uz vobec neriesite veci na dialku.
V drevnych dobach sa mi napriklad stavalo, ze po upgrade jadra som mal prehodene interfejsy = nefunkcny server, takze ma cakal vyjazd k nemu. V sucasnych dobach sa tiez relativne casto stane, ze jedna aktualizacia plata potencionalnu dieru, ale dalsiu vytvara, respektive znefunkcnuje dovtedy funkcnu sluzbu. Tymto trpia hlavne Win servre a desktopy, kde aktualizujem hrozne nerad...nastastie fyzickych serverov ubuda a pred aktualizaciami si robim snapshoty, takze pripadne problemy viem hravo vyriesit. V desktopoch sa zase len odinstaluje posledne KB, ktore sposobilo problem a je na urcity cas pokoj. Zrovna par tyzdnov dozadu zacalo isete KB znefunkcnovat PPTP a L2TP vpnky.
Bezne maju moji zakaznici admin pristupy k svojim Win serverom, dokonca aj ku kontu Administratora, pretoze ja ich sice upozornim, ze to nie je spravne, ale kedze sa toho dozaduju....ja sa s nimi hadat nebudem. Budem kazdy den robit dump servera a tak sa branit proti ich vlastnej hluposti.
Bezne maju zakaznici otvorene RDP porty smerom von, pretoze napriklad ked pani konatelke z IT nejde spustit na jej macbooku VPN, ktoru som jej nastavil a pol roka fungovala ja sa s nou po telefone hadat nebudem, ja jej ten port otvorim a ked bude server raz zasifrovany obnovim ho z nocnej zalohy. Ona je spokojna, ja som kludny, win-win.
Proste treba v praxi improvizovat, nie sa hrat na korporatne prostredie so striktnymi pravidlami, kde tak, ci tak dochadza k pruserom v rovnakej miere. Vy by ste urcite najradsej nasadili hned AD do firmy, ktora ma 3 PC, alebo do skoly, kde je sice 50 ucitelskych pc, ale nemaju admina, ktory by sa im o domenu s AD staral a keby to tam nasadite mate kazdu chvilu telefonat, ze nieco nejde. Vo finale ste za blbca lebo ste nasadili nieco co nefunguje, respektive su s tym problemy a domena bez domenoveho admina to uz radsej ziadnu. Treba skusiti;o).
K tym chybam....netreba pozerat na relativne nicnehovirace cisla, ale na to ako je chyba zneuzitelna v praxi. Ksmbd ma skore 10, ale vobec z toho nie som uneseny. Za prve tento modul nie je zapnuty vo vacsine linuxovych distribucii v defaulte. Za druhe ak aj je, na jeho zneuzitie musim splnat iste predpoklady a v tomto pripade sa to absolutne netyka beznych internetovych serverov.
Dolezitymi udajmi o zranitelnosti su okrem nic nehovoriacie popisu, ze je mozno spustit nejaky kod aj napriklad, ci je dokladne popisany sposob ako zranitelnost funguje, ci je popisany sposob akym je mozno zranitelnost zneuzit a vo finale kto vsetko je schopny tuto zranitelnsot zneuzit.