CityCat4

Тут ниже ответ, который я однажды написал по поводу нахождения сервера дома. Вряди ли с тех пор чего изменилось.

Вот

В связи с тем, что переехал ближе к работе - сервер теперь стоит на работе :) Это наилучшее из возможных решение, правда оно далеко не всем доступно :)

Начинаем с чтения законодательства, относящегося к КИИ - там не так уж и много. Ищем всякие вторичные документы, если не ошибаюсь, там было что-то о том, как классифицируется КИИ.

Вот небольшой перечень:
ФЗ-187
Постановление Правительства Российской Федерации №127 от 8 февраля 2018 года Об утверждении правил категорирования обьектов критической информационной инфраструктуры
Приказ ФСТЭК № 239 с изменениями от 20 февраля 2020 года Об утверждении Требований по обеспечению безопасности значимых обьектов критической информационной инфраструктуры
Информационное письмо ФСТЭК от 17 апреля 2020 года "По вопросам предоставления перечней обьектов критической информационной инфраструктуры, подлежащей категорированию"
Указ Президента Российской Федерации от 30.03.22 №166

Для работы RDP винда тупо генерит самоподписанный сертификат и ее никак не переубедить этого не делать. Есть мануалы, где написано, что при наличии в хранилище компьютера сертификата, выпущенного по шаблону, прописанному в некоей политике - винда этого не делает, но у меня повторить не получилось - несмотря на наличие оного сертификата винда кладет на него преогромный болт и все равно выпускает свой.
Простейшим решением является тык в галочку "Доверять все равно" раз в год.

Я не так давно отвечал на этот вопрос.

Вот

Если что-то непонятно - спрашивайте, зачем задавать один и тот же вопрос повторно?

API? На C? На уровне пакетов ethernet? Ну, какие-то либы наверняка найдутся, позволяющие формировать пакеты, но я бы на месте твоего препода добавил условие "и без использования библиотек".
Берется RFC, читается, формируется пакет вручную и вручную же отправляется в сетевой стек на нужном уровне.

В сертификате "Калуга астрал" видимо указан OCSP - сервис для онлайн-проверки статуса сертификатов. Пока данный сервис не будет онлайн/доступен, этим сертификатом ничего нельзя будет подписать, потому что он не может проверить статус отзыва.
Загрузка CRL на компьютер ничего не решает - должен работать именно онлайн проверятор.

Ить, английским по белому написано - не найдено устройство видеокарты. А не найдено оно потому что дрова не загружены. А не загружены они потому что не найдены :) Либо путь к модулям изменился, либо что-то их потерло. Скорее всего, до перезагрузки было какое-то обновление, которое что-то стерло/переместило/обновило.

Ну есть только пара дурацких решений типо напихать кулеров по максимуму и поставить перед корпусом пару вентиляторов (обычных, на ногах).
Корупс поменять на больший (если возможно конечно).
Снять боковую стенку и направить на мать вентилятор (на ноге) - прямо на мать, чтобы воздух сносило нафиг сразу.

Это конечно все дикие уродливые костыли - но вдруг поможет.

Почему не могут-то? Могут. Просто такой команды пока не было. Погуглите, как с этим в Китае, например (с работой VPN). Или Вы думаете, тот факт, что Shadowsocks - китайская разработка - случайность? :)
Ну и кроме того, не всякий VPN - это обход блокировок. В энтерпрайзе - это обычная технология обьединения филиалов с головным офисом и предоставления удаленного доступа сотрудникам.

Предложил изменение вопроса - убрал тег "Шифрование"

ext4
lvm

Отсутствие lvm при необходимости расширения ФС приведет к старинному решению - монтирование разделов в точки монтирования (ну то есть в /usr монтируем /dev/sdb1, в /var - /dev/sdb2 etc). Это вполне себе решение обкатанное тысячами инсталляций, но у него есть существенный недостаток - для его реализации нужно останавливать сервер на все время копирования /usr, /var etc на новые расположения.
Если останов сервера некритичен - можно lvm не использовать. Я в свое время дико натрахался с этим расширением ФС на FreeBSD (где lvm нет - ну по крайней мере в 9.1-RELEASE не было) поэтому на линухе lvm - это просто что-то с чем-то.

Смотря для чего. Безопасность - понятие относительное. Например - безопасно ли гулять по городу?

Обычно я напрямую код не подсказываю, но тут все просто, как полено:

_newcrl=`date -r $file1 +%s`
_oldcrl=`date -r $file2 +%s`

if [ $_newcrl -gt $_oldcrl ]; then
# тут делаем чегой-то
fi

Вся система PKI - она иерархична и построена на доверии. Больше ни на чем. Только на доверии, которое достаточно один раз обмануть, чтобы перестать доверять системе в целом.

Есть некое множество контор, которые выпускают SSL-сертификаты. Они не самые лучшие и не самые правильные, просто однажды они собрались и решили замутить бизнес. Почему все доверяют им? Да просто потому что до недавнего времени не было поводов их обвинить в мошенничестве - там все в порядке (было) с "внутренней полицией", которая нарушителей выкидывала нафиг с пляжа.
Ну и - самое главное - все доверяют им, потому что их корневые сертификаты размещены в хранилищах корневых сертификатов у Windows и Mozilla (Google использует хранилище Windows).

И все

Никакой исключительности - просто тупой договорняк размером с мир. Но, поскольку всегда есть возможность поместить в хранилище корневых (кроме как в андроиде, который сразу же начинает визжать "аааа, меня контролирует Большой Брат!") свои собственные сертификаты - эта схема всех устраивала.

Пока ребята не решили выстрелить себе в ногу, прекратив выпуск сертификатов в зонах .ru/.su/.by/.рф просто по политическим мотивам. Их право - частный бизнес - он такой частный бизнес. Но тут все резко как-то вспомнили, что все "мировые удостоверяющие центры" вовсе нифига не мировые, а просто кучка самозванцев.

И будут у нас скоро госСA, госсертификаты, госбраузеры и все прочее в порядке импортозамещения.

Теперь о том, как проверяется валидность сертификата. А проверяется она очень просто - если сертификат выпущен CA, который находится в списке доверенных - он валидный.

ВСЕ!

Ты можешь развернуть свой CA, поместить его сертификат в хранилище корневых у себя на компе - и все сертификаты, выпущенные им - для тебя - станут валидными. Выпускай хоть для vk.com, хоть для whitehouse.gov.

И вот именно поэтому все так боятся поместить в хранилище корневых сертификат от какого-нибудь госСA - потому что все сертификаты, выпущенные им система будет считать валидными! Она не делает разницы между сертификатом от Thawte и от "Товарищ Майор Inc." - она примет сертификат и от того, и от того. А товарищ майор, получив возможность выпускать сертификаты, валидные в Вашей системе, будет выпускать их на ходу и подсовывать их вместо "настоящих", получая доступ к сессионным ключам и таким образом расшифровывая https-трафик (что собственно Fiddler и делает)

Схема в принципе рабочая, но для полноты нужно отправку делать напрямую через VPS, иначе в заголовке письма все равно будет полный путь. То есть читать почту с одного сервера, а отправлять - через другой.

Закон не требует хранить только в РФ. Вы можете хранить в РФ актуальную, точную и полуню копию базы, а оригинал держать где угодно. Правда, в нынешнее время я бы поопасался держать данные у гугла - забанят и не скажут нифига.

Телепаты в отпуске, где логи, Зин? На микротике IPSec-логи отличаются прям-таки маразматическими подробностями...