Задать вопрос
  • Веб сервер дома?

    opium
    @opium
    Просто люблю качественно работать
    да стартапу то все равно что дома что на вдс
    Ответ написан
    Комментировать
  • Что за странные ошибки выдает OpenVPN во время работы?

    vaut
    @vaut
    Там же внятно написано что вы используете слабое шифрование.
    Ответ написан
    1 комментарий
  • Как перейти с Ubuntu на Debian?

    TrueBers
    @TrueBers
    Гуглю за еду
    Если у вас не боевой сервер, а десктоп, зачем вам на нём дебиан? Чем он будет принципиально отличаться от убунты кроме названия и более старых версий пакетов?
    Ответ написан
    1 комментарий
  • Как обойтись без VPN?

    edinorog
    @edinorog
    Троллей не кормить!
    Договориться с тем у кого есть впн с реальниками)
    Ответ написан
    2 комментария
  • Минимальные настройки безопасности Linux на VPS?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    1. На порты управления обязательно: port-knocking
    2. Не нужно использовать ключи взамен пароля.
    3. Нужно использовать здравый смысл, поведенческий фильтр с ограничением по подсетям. Его можно использовать как перед подключением к SSH, так и сразу после подключения (например, промежуточным логин-скриптом проверить: предоставить доступ с верным паролем или нет).

    Не забывайте, что кроме пары логин-пароль и ключей, есть много других способов аутентификации.

    4. port-knocking: https://www.vultr.com/docs/port-knocking-on-debian
    Подключение из putty с port-knocking "из коробки":
    putty-port-knocking.png
    https://putty.org.ru/

    5. Также, можно поставить AppArmor (что это?) для управления доступом приложений к системе: https://wiki.debian.org/AppArmor/HowToUse

    6. Защита web-сайтов от большинства видов атак (включая правила исполнения кода): sitecoder.blogspot.com/2016/05/website-protection-...
    Ответ написан
    3 комментария
  • Минимальные настройки безопасности Linux на VPS?

    Tyranron
    @Tyranron
    Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

    1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

    2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

    3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

    4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

    5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

    6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

    7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

    8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

    9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

    Это была база.
    Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
    - SELinux, chroot
    - доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

    UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).
    Ответ написан
    10 комментариев
  • Подойдет ли одноплатник для разработки?

    @kalapanga
    Пересаживайтесь, пересаживайтесь! Если всех разработчиков в ресурсах урезать, то глядишь и нам супермегакомп не будет требоваться, чтобы в интернете новости почитать! :)
    Ответ написан
    2 комментария
  • Подойдет ли одноплатник для разработки?

    Настоятельно посоветовал бы ODROID-C2 (или подороже ODROID-XU4), с eMMC модулем, работать будет шикарно.
    Orange Pi для десктопа не рекомендовал бы.
    Ответ написан
    Комментировать
  • Какой Linux выбрать?

    Neznayka1979
    @Neznayka1979
    Интересы - IT, психология...
    Ответ написан
    Комментировать
  • Какой Linux выбрать?

    twix007
    @twix007
    Lubuntu как вариант
    Ответ написан
    Комментировать
  • "Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    Но можно ли при этом узнать что человек пишет, с кем общается?
    Он может перехватывать весь ваш трафик и читать его. Но если трафик https. то он зашифрован и ничего прочитать не получится. Можно конечно попытаться устроить перехват https но только при условии, что вы не следите за сертификатами.

    Но может ли он как-то палиться внутри сети?
    Смотря что вы подразумеваете под словом "палится" - если речь о перехвате трафика, то нет. Если речь о определении факта использования TOR - запросто.
    Ответ написан
  • Как устранить эту ошибку при загрузке линукс?

    @Wexter
    система определила что у вас есть ошибки в файловой системе.
    выполните fsck /dev/sda6
    Ответ написан
    5 комментариев
  • Возможно ли установить несколько, а точнее разные дистрибутивы ОС Linux на один жесткий диск?

    plin2s
    @plin2s
    IT, инженер
    Немного про деление диска.
    Для начала можно сильно не углубляться в деление диска на множество разделов, но кое-что сделать определенно стоит.
    Создать один раздел для swap - его можно использовать для обеих систем. корневой раздел ( / ) определенно отдельный под каждую систему. /home можно иметь как один на две системы, так и для каждой отдельный, но для начала будет проще с разными. Так же можно сделать отдельный раздел с данными, который будет монтироваться в обеих системах.
    Итого:
    1-2 разделы - / для каждой системы (20Gb как правило достаточно)
    3 раздел - swap (один для обеих систем, размер зависит от памяти, но в большинстве случаев 1-2Gb более чем достаточно)
    4-5 разделы - /home (я бы начал с двух независимых разделов, объем не слишком)
    6 раздел - с данными (монтировать куда хочется, например в /mnt, /media или даже /home/username/foldername)

    Хорошим тоном считается вынос /var в отдельный раздел, чтобы переполнение логов не сильно мешало системе, но для начала это избыточно. Всегда можно будет потом создать еще парочку разделов и монтировать их в /var
    Если у вас разметка mbr, то 1-3 разделы основные, далее расширенный раздел делится на нужное количество. Если gpt - просто куча разделов.
    Ответ написан
    Комментировать
  • Serial ATA - это приговор?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Serial ATA - это интерфейс
    SSD - это технология хранения данных
    SSD с интерфейсом Serial ATA - совершенно заурядная вещь
    Ответ написан
    Комментировать
  • Serial ATA - это приговор?

    @Fixid Куратор тега Железо
    Serial ATA = SATA -> типичный SSD имеет SATA -> Profit!
    Ответ написан
    Комментировать
  • Нужно ли выполнять требования бухгалтерии?

    K-700A
    @K-700A
    Ведение бух.учета на предприятии никто не отменял. Акт выполненных работ является документом, без оформления которого, затраты предприятия не будут учтены в расчете налога на прибыль. Поэтому, от Вас и требуют данные документы. И это правильно.
    Ответ написан
    Комментировать
  • Нужно ли выполнять требования бухгалтерии?

    @Tabletko
    никого не трогаю, починяю примус
    Нужно оплать счёт. А на основани чего - на основании договора, товарной накладной или акта выполненных работ. Это нужно что бы показать на что потрачены деньги компании.

    В общем случае - да, должен.
    Ответ написан
    Комментировать
  • Не работает только что установленный Linux. Странный вывод консоли. Как быть?

    @Erelecano
    Админю сервера, починяю примуса.
    Да откуда вы лезете со своими сборками от Васяна?
    Ставьте нормальные дистрибутивы Debian/Ubuntu, CentOS/Fedora, да хоть Альт ставьте. Но нет, вам нужно ЛинуксЗверЦД от Васяна брать и потом жаловаться, что что-то не работает. Вы со своей виндой не нажрались сборок от всяких Васянов и Камшотов?
    Ответ написан
    4 комментария
  • Как заставить Windows открывать приложение от имени администратора?

    @Bobson8
    Системный администратор
    Вы как назначаете запуск от администратора? Если через: правой кнопкой на ярлыке приложения - свойства - совместимость - галочка на "запускать от админа", то желательно еще одну галочку поставить в: правой кнопкой на ярлыке приложения - свойства - дополнительно - галочка на "запускать от админа". Всё должно работать.
    Ответ написан
    5 комментариев