форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Безопасность, помогите разобраться новичку!"
Сообщение от Spider on 18-Мрт-04, 18:16  (MSK)
Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. и поддерживать в таком состоянии. "Нарисуйте" плиз модель поведения что ли, ну или как в миру это народ делает. (если не лень потрясите ссылочками парни ;) Все сервисы ставил из портов, где про них отслеживать, кроме обновления дерева? Заранее спасибо за просветление!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Безопасность, помогите разобраться новичку!"
Сообщение от boykov on 18-Мрт-04, 19:41  (MSK)
>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >и поддерживать в таком состоянии. > >"Нарисуйте" плиз модель поведения что ли, >ну или как в миру это народ делает. >(если не лень потрясите ссылочками парни ;) > >Все сервисы ставил из портов, где про них отслеживать, >кроме обновления дерева? > >Заранее спасибо за просветление! /usr/share/doc/handbook/handbook.html Читаешь про cvsup и поднимаешься до RELENG (или ждешь мая и сразу 4.10) Читаешь про списки рассылки и подписываешься на security и announce Читаешь секурити релизы и делаешь, что скажут.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Безопасность, помогите разобраться новичку!"
	Сообщение от Spider on 19-Мрт-04, 10:26  (MSK)
	>>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >>и поддерживать в таком состоянии. >> >>"Нарисуйте" плиз модель поведения что ли, >>ну или как в миру это народ делает. >>(если не лень потрясите ссылочками парни ;) >> >>Все сервисы ставил из портов, где про них отслеживать, >>кроме обновления дерева? >> >>Заранее спасибо за просветление! > >/usr/share/doc/handbook/handbook.html Ок >Читаешь про cvsup и поднимаешься до RELENG (или ждешь мая и сразу >4.10) Где об этом читать? Мне бы на русском... :( >Читаешь про списки рассылки и подписываешься на security и announce >Читаешь секурити релизы и делаешь, что скажут. Где об этом читать? Мне бы на русском... :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Безопасность, помогите разобраться новичку!"
Сообщение от dev on 18-Мрт-04, 22:33  (MSK)
>Все сервисы ставил из портов, где про них отслеживать, >кроме обновления дерева? /usr/ports/security/portaudit Ну и в дополнение в вышесказаному: 1. Убрать все лишнее с внешних интерфейсов. 2. Недоверять пользователям на серваке, особенно системным, т.е. все возможное распихать по chroot, прова на файлы ставить минимальные. А также перекрыть доступ к сети, кроме самого необходимого. - это на случай, если все же дыры будут, чтобы вреда не слишком много было. Чем сервак занимается? От этого может зависить, где еще потенциальные дыры есть.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Безопасность, помогите разобраться новичку!"
	Сообщение от Spider on 19-Мрт-04, 10:24  (MSK)
	>>Все сервисы ставил из портов, где про них отслеживать, >>кроме обновления дерева? > >/usr/ports/security/portaudit Ок будем смотреть... >Ну и в дополнение в вышесказаному: >1. Убрать все лишнее с внешних интерфейсов. Ок уже :) >2. Недоверять пользователям на серваке, особенно системным, т.е. все >возможное распихать по chroot, Можно примеры для чего (что обычно в chroot ставят), у меня наружу тока почтовик... > права на файлы ставить минимальные. А также перекрыть доступ к >сети, кроме самого необходимого. Я так понимаю ipfw > >- это на случай, если все же дыры будут, чтобы вреда не >слишком много было. > >Чем сервак занимается? От этого может зависить, где еще потенциальные дыры есть. > Простой гейт с постфиксом наружу, и я думаю все пока. dhcp, pop3, named, squid, apache - внутрь. Интересует такой вопрос: Есть механизм рабочий, кидаешь мыло с хитрым сабжем на не хитрый адрес и запускается mpd, после этого рулю серваком извне... Потом так же mpd останавливаю. Получается что smtp всегда висит, я управление нет тока после mpd и на локальный ssh Как такая схема?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Безопасность, помогите разобраться новичку!"
	Сообщение от dev on 19-Мрт-04, 21:07  (MSK)
	>Можно примеры для чего (что обычно в chroot ставят), у меня наружу >тока почтовик... В первую очередь named - он часто светился в списках дырок :) Почтовика тоже, в принципе, можно. Смотря чем он занимается (есть ведь еще и procmail). >>А также перекрыть доступ к сети, кроме самого необходимого. > >Я так понимаю ipfw Да. Т.е. перекрыть доступ к Инету изнутри (чего нет в обычных конфигурациях) и пускать только нужных пользователей - типа smtp-user. Просто подумай, кому интересно будет тебя ломать. От пионеров защититься легко. От автоматических скриптов - тоже; и им, в основном, интересно через тебя спам рассылать - вот эту возможность и прикрой. От профессионалов тоже защититься можно, вот только нужен ли ты им? :) >Простой гейт с постфиксом наружу, и я думаю все пока. >dhcp, pop3, named, squid, apache - внутрь. Ну named тоже, наверно, внешний интерфейс слушает? Инача откуда он ответы получает? Вот его и chroot. Апача главное наружу без нужды не выпускай - легче всего ошибиться в cgi скриптах. >Есть механизм рабочий, кидаешь мыло с хитрым сабжем на не хитрый адрес > >и запускается mpd, после этого рулю серваком извне... >Потом так же mpd останавливаю. > >Получается что smtp всегда висит, я управление нет тока после mpd и >на локальный ssh > >Как такая схема? Не очень :) Не в смысле безопастности, а просто когда-нибудь это сломается и все будет зависить от расстояния до компа. У меня это, к примеру, 200 км и еще куча денег за вход. Поэтому мне важнее всегда иметь возможность рулить, а не опастность sshd. А если сервак в локалке, то: убери с него все, кроме ipfw (т.е. сделай его чистым файрволом) и выставляй всяческие securitylevel и noexec :) Тогда тебя будут ломать закидыванием троянов юзерам по почте. Поэтому своей сетке тоже не доверяй.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Безопасность, помогите разобраться новичку!"
Сообщение от lavr on 19-Мрт-04, 13:13  (MSK)
>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >и поддерживать в таком состоянии. > >"Нарисуйте" плиз модель поведения что ли, >ну или как в миру это народ делает. >(если не лень потрясите ссылочками парни ;) > >Все сервисы ставил из портов, где про них отслеживать, >кроме обновления дерева? > >Заранее спасибо за просветление! # man security # читаем handbook http://unix1.jinr.ru/~lavr/secure-bulleten.html - разные ссылки по секурити, использование firewall, слежение за атаками, защита сервисов http://www.ru-board.com/new/article.php?sid=149 http://www.cymru.com/Documents/ip-stack-tuning.html http://www.busan.edu/~nic/networking/firewall/index.htm - book firewall http://www.void.ru/content/713 http://www.freebsd.bip.ru/bronfbsd.shtml http://www.opennet.me/docs/153.shtml http://www.opennet.me/docs/135.shtml
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Безопасность, помогите разобраться новичку!"
	Сообщение от GlinNT on 19-Мрт-04, 15:20  (MSK)
	>>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >>и поддерживать в таком состоянии. >> >>"Нарисуйте" плиз модель поведения что ли, >>ну или как в миру это народ делает. >>(если не лень потрясите ссылочками парни ;) >> >>Все сервисы ставил из портов, где про них отслеживать, >>кроме обновления дерева? >> >>Заранее спасибо за просветление! > ># man security ># читаем handbook > >http://unix1.jinr.ru/~lavr/secure-bulleten.html - разные ссылки по секурити, использование firewall, слежение за атаками, защита >сервисов > >http://www.ru-board.com/new/article.php?sid=149 >http://www.cymru.com/Documents/ip-stack-tuning.html >http://www.busan.edu/~nic/networking/firewall/index.htm - book firewall > >http://www.void.ru/content/713 >http://www.freebsd.bip.ru/bronfbsd.shtml >http://www.opennet.me/docs/153.shtml >http://www.opennet.me/docs/135.shtml 100% гарантию от взлома не даст даже страховой полис. Любое ограничение введенное для увеличения безопасности осложняет использование, т.е. после того, как ты сделаешь, что тебе советуют в этих умных советах будет непросто наладить работу требуемого софта. Даже откомпилировать софт бывает уже невозможно :). Чем большая степень безопасности нужна, тем больше нужно тратить время на ее обеспечение. Новичок не сможет сделать хост безопасным (к сожаленю, это так), так что не трать на это даже время. Потому что все равно сломают, если вдруг твой хост станет кому-нибудь интересен :P Если нужна конкретная степень безопасности, обратись к профессионалам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Безопасность, помогите разобраться новичку!"
	Сообщение от lavr on 19-Мрт-04, 15:40  (MSK)
	>>>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >>>и поддерживать в таком состоянии. >>> >>>"Нарисуйте" плиз модель поведения что ли, >>>ну или как в миру это народ делает. >>>(если не лень потрясите ссылочками парни ;) >>> >>>Все сервисы ставил из портов, где про них отслеживать, >>>кроме обновления дерева? >>> >>>Заранее спасибо за просветление! >> >># man security >># читаем handbook >> >>http://unix1.jinr.ru/~lavr/secure-bulleten.html - разные ссылки по секурити, использование firewall, слежение за атаками, защита >>сервисов >> >>http://www.ru-board.com/new/article.php?sid=149 >>http://www.cymru.com/Documents/ip-stack-tuning.html >>http://www.busan.edu/~nic/networking/firewall/index.htm - book firewall >> >>http://www.void.ru/content/713 >>http://www.freebsd.bip.ru/bronfbsd.shtml >>http://www.opennet.me/docs/153.shtml >>http://www.opennet.me/docs/135.shtml > >100% гарантию от взлома не даст даже страховой полис. >Любое ограничение введенное для увеличения безопасности осложняет использование, т.е. после того, как >ты сделаешь, что тебе советуют в этих умных советах будет непросто >наладить работу требуемого софта. Даже откомпилировать софт бывает уже невозможно :). > >Чем большая степень безопасности нужна, тем больше нужно тратить время на ее >обеспечение. >Новичок не сможет сделать хост безопасным (к сожаленю, это так), так что >не трать на это даже время. Потому что все равно сломают, >если вдруг твой хост станет кому-нибудь интересен :P >Если нужна конкретная степень безопасности, обратись к профессионалам. бред, особенно про сборку софта. Все когда-то начинали, профессионалами НЕ РОЖДАЮТСЯ, ими становятся, а как известно, на чужих ошибках научится нельзя. Никогда нельзя принебрегать советами, но относится к ним не как к догме, а как к примеру который необходимо проанализировать и уже используя чей-то верный или неверный опыт, сделать по-своему и под себя. Анекдот: есть обычные люди и высшая каста, последняя имеет врожденные профессиональные навыки секурити. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Безопасность, помогите разобраться новичку!"
	Сообщение от GlinNT on 19-Мрт-04, 16:16  (MSK)
	>>100% гарантию от взлома не даст даже страховой полис. >>Любое ограничение введенное для увеличения безопасности осложняет использование, т.е. после того, как >>ты сделаешь, что тебе советуют в этих умных советах будет непросто >>наладить работу требуемого софта. Даже откомпилировать софт бывает уже невозможно :). >> >>Чем большая степень безопасности нужна, тем больше нужно тратить время на ее >>обеспечение. >>Новичок не сможет сделать хост безопасным (к сожаленю, это так), так что >>не трать на это даже время. Потому что все равно сломают, >>если вдруг твой хост станет кому-нибудь интересен :P >>Если нужна конкретная степень безопасности, обратись к профессионалам. > >бред, особенно про сборку софта. Все когда-то начинали, профессионалами НЕ РОЖДАЮТСЯ, ими >становятся, а как известно, на чужих ошибках научится нельзя. > Никогда нельзя принебрегать советами, но относится к ним не как к >догме, >а как к примеру который необходимо проанализировать и уже используя чей-то >верный или неверный опыт, сделать по-своему и под себя. > >Анекдот: есть обычные люди и высшая каста, последняя имеет врожденные профессиональные навыки >секурити. :) Бред? Приведу примеры: Игры с securelevel или с флагами на файлах могут привести к тому, что не то что откомпилировать, так вообще система не загрузится. Или, казалось бы такая безобидная фишка как установка опции noexec на /tmp . В итоге pkg_add не работает. Из новичков иногда получаются гуру, но это вообще редкий случай, да и времени пройдет много, а за это время человек шишек себе набьет, я же уберечь хочу товарища от такой напасти ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Безопасность, помогите разобраться новичку!"
	Сообщение от lavr on 19-Мрт-04, 17:42  (MSK)
	>>>100% гарантию от взлома не даст даже страховой полис. >>>Любое ограничение введенное для увеличения безопасности осложняет использование, т.е. после того, как >>>ты сделаешь, что тебе советуют в этих умных советах будет непросто >>>наладить работу требуемого софта. Даже откомпилировать софт бывает уже невозможно :). >>> >>>Чем большая степень безопасности нужна, тем больше нужно тратить время на ее >>>обеспечение. >>>Новичок не сможет сделать хост безопасным (к сожаленю, это так), так что >>>не трать на это даже время. Потому что все равно сломают, >>>если вдруг твой хост станет кому-нибудь интересен :P >>>Если нужна конкретная степень безопасности, обратись к профессионалам. >> >>бред, особенно про сборку софта. Все когда-то начинали, профессионалами НЕ РОЖДАЮТСЯ, ими >>становятся, а как известно, на чужих ошибках научится нельзя. >> Никогда нельзя принебрегать советами, но относится к ним не как к >>догме, >>а как к примеру который необходимо проанализировать и уже используя чей-то >>верный или неверный опыт, сделать по-своему и под себя. >> >>Анекдот: есть обычные люди и высшая каста, последняя имеет врожденные профессиональные навыки >>секурити. :) > >Бред? >Приведу примеры: >Игры с securelevel или с флагами на файлах могут привести к тому, >что не то что откомпилировать, так вообще система не загрузится. >Или, казалось бы такая безобидная фишка как установка опции noexec на /tmp >. В итоге pkg_add не работает. >Из новичков иногда получаются гуру, но это вообще редкий случай, да и >времени пройдет много, а за это время человек шишек себе набьет, >я же уберечь хочу товарища от такой напасти ;) как сказал древнегреческий филосов: "Примерами, никто никому и ничего не доказал". Тем не менее, указанные примеры могут сильно повлиять, НО, дело в другом, Unix - это классическая многозадачная, многопользовательская система и "тырканья" а-ля Виндозе не предусматривает, исключение - линуксовые фронт-енды для СОБСТВЕННОЙ РАБОЧЕЙ станции. Соответственно Unix - это знания и тупо выставлять параметры security НАОБУМ и параметры ядра Н-И-З-Я!!! Значит нужно ЧТО - ИЗУЧАТЬ, либо самостоятельно и регулярно - "нет предела совершенству", либо идти на курсы и после них продолжать изучать самостоятельно. Играют в ИГРЫ, а в Unix работают, ну или фанатеют, живут (бывает что он надоедает до блевоты, sorry), ПОЛНОСТЬЮ СОГЛАСЕН - НУЖНО БЫТЬ ОСТОРОЖНЫМ, но для этого надо ЧИТАТЬ и ИЗУЧАТЬ, man - как постоянное и ПЕРВОЕ подручное средство.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Безопасность, помогите разобраться новичку!"
	Сообщение от GliNT on 19-Мрт-04, 17:55  (MSK)
	>Unix - это классическая многозадачная, многопользовательская система и "тырканья" а-ля Виндозе не предусматривает Windows тоже этого не любит и очень жестоко наказывает за это. Помню поставил WinProxy на NT 4 Server, она что-то с реестром начудила и винда умерла. В Unix, конечно, систему еще можно поднять, там единого реестра нет ;). Вообще, тыкать наобум явно не стоит, кроме, разумеется экспериментов, но это не на production-машине нужно делать. Так что советую иметь 2 машинки - одну для production и вторую для экспериментов. 10 тысяч часов разборок и экспериментов и вы - гуру. Если, конечно, руки растут в нужном направлении ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Безопасность, помогите разобраться новичку!"
	Сообщение от GlinNT on 19-Мрт-04, 15:25  (MSK)
	>>Есть Фря 4.9 Надо залатать все известные дыры, ошибки и т.д. >>и поддерживать в таком состоянии. >> >>"Нарисуйте" плиз модель поведения что ли, >>ну или как в миру это народ делает. >>(если не лень потрясите ссылочками парни ;) >> >>Все сервисы ставил из портов, где про них отслеживать, >>кроме обновления дерева? >> >>Заранее спасибо за просветление! > ># man security ># читаем handbook > >http://unix1.jinr.ru/~lavr/secure-bulleten.html - разные ссылки по секурити, использование firewall, слежение за атаками, защита >сервисов > >http://www.ru-board.com/new/article.php?sid=149 >http://www.cymru.com/Documents/ip-stack-tuning.html >http://www.busan.edu/~nic/networking/firewall/index.htm - book firewall > >http://www.void.ru/content/713 >http://www.freebsd.bip.ru/bronfbsd.shtml >http://www.opennet.me/docs/153.shtml >http://www.opennet.me/docs/135.shtml 100% гарантию от взлома не даст даже страховой полис. Любое ограничение введенное для увеличения безопасности осложняет использование, т.е. после того, как ты сделаешь, что тебе советуют в этих умных советах будет непросто наладить работу требуемого софта. Даже откомпилировать софт бывает уже невозможно :). Чем большая степень безопасности нужна, тем больше нужно тратить время на ее обеспечение. Новичок не сможет сделать хост безопасным (к сожаленю, это так), так что не трать на это даже время. Потому что все равно сломают, если вдруг твой хост станет кому-нибудь интересен :P Если нужна конкретная степень безопасности, обратись к профессионалам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Безопасность, помогите разобраться новичку!"
Сообщение от vt on 19-Мрт-04, 16:47  (MSK)
>"Нарисуйте" плиз модель поведения что ли, >ну или как в миру это народ делает. >(если не лень потрясите ссылочками парни ;) > >Все сервисы ставил из портов, где про них отслеживать, >кроме обновления дерева? ИМХО Если дело дошло до озабоченности безопасностью, значит пора от портов, пакаджей, мэйнтейнеров и дистрибьюторов переходить к исходным текстам и сайтам разработчиков.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Безопасность, помогите разобраться новичку!"
	Сообщение от lavr on 19-Мрт-04, 17:44  (MSK)
	>>"Нарисуйте" плиз модель поведения что ли, >>ну или как в миру это народ делает. >>(если не лень потрясите ссылочками парни ;) >> >>Все сервисы ставил из портов, где про них отслеживать, >>кроме обновления дерева? > >ИМХО >Если дело дошло до озабоченности безопасностью, >значит пора от портов, пакаджей, мэйнтейнеров и дистрибьюторов >переходить к исходным текстам и сайтам разработчиков. отнюдь, ВСЕ тоже что сказано, но со своими правками и патчами в портах, гораздо удобней, правда придется их таскать, возможно перерабатывать... Хотя тоже лишь личное IMHO
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Безопасность, помогите разобраться новичку!"
	Сообщение от dev on 19-Мрт-04, 21:09  (MSK)
	>ИМХО >Если дело дошло до озабоченности безопасностью, >значит пора от портов, пакаджей, мэйнтейнеров и дистрибьюторов >переходить к исходным текстам и сайтам разработчиков. А как это поможет в смысле безопастности?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Безопасность, помогите разобраться новичку!"
	Сообщение от GliNT on 20-Мрт-04, 02:15  (MSK)
	>>ИМХО >>Если дело дошло до озабоченности безопасностью, >>значит пора от портов, пакаджей, мэйнтейнеров и дистрибьюторов >>переходить к исходным текстам и сайтам разработчиков. > >А как это поможет в смысле безопастности? В чем плюс использования портов? В том, что необходимые патчи для конкретной версии установятся автоматом и софт будет установлен почти всегда. В чем плюс испльзования пакаджей? То же, что и предыдущее, только компилировать уже не надо. В чем плюс испльзования исходных текстов и сайтов разработчиков? В том, что при обнаружении проблем с безопасностью у софта сначала разработчики выпускают патчи, а потом производители ОС выпускают пачти для каждой версии ОС, которая еще пока поддерживается.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Безопасность, помогите разобраться новичку!"
	Сообщение от dev on 20-Мрт-04, 13:20  (MSK)
	>В чем плюс испльзования исходных текстов и сайтов разработчиков? >В том, что при обнаружении проблем с безопасностью у софта сначала разработчики >выпускают патчи, а потом производители ОС выпускают пачти для каждой версии >ОС, которая еще пока поддерживается. К примеру, у меня portaudit нашел, что libtool была с дыркой. Что это за фигня и кто ее ставил - понятия не имею. Так же и из исходников: тебе перечислят список того, что надо поставить. Ты собираешься потом следить за списками рассылки и всех используемых библиотек? Так их несколько сотен на среднем компе наберется. И не факт, что у всех у них есть рассылка именно по безопастности; а иначе придется читать все подряд.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Безопасность, помогите разобраться новичку!"
	Сообщение от vt on 20-Мрт-04, 18:27  (MSK)
	>К примеру, у меня portaudit нашел, что libtool была с дыркой. Что >это за фигня и кто ее ставил - понятия не имею. >Так же и из исходников: тебе перечислят список того, что надо >поставить. Ты собираешься потом следить за списками рассылки и всех используемых >библиотек? Так их несколько сотен на среднем компе наберется. И не >факт, что у всех у них есть рассылка именно по безопастности; >а иначе придется читать все подряд. Жить вообще трудно, а особенно - если заниматься безопасностью :) Но если заниматься, то придется иметь понятие обо всем, что используешь. Или не использовать. Или не заниматься.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Безопасность, помогите разобраться новичку!"
	Сообщение от lavr on 23-Мрт-04, 15:34  (MSK)
	>>К примеру, у меня portaudit нашел, что libtool была с дыркой. Что >>это за фигня и кто ее ставил - понятия не имею. >>Так же и из исходников: тебе перечислят список того, что надо >>поставить. Ты собираешься потом следить за списками рассылки и всех используемых >>библиотек? Так их несколько сотен на среднем компе наберется. И не >>факт, что у всех у них есть рассылка именно по безопастности; >>а иначе придется читать все подряд. > >Жить вообще трудно, а особенно - если заниматься безопасностью :) >Но если заниматься, то придется иметь понятие обо всем, >что используешь. >Или не использовать. >Или не заниматься. хорошо сказано :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.