Задать вопрос
  • Как сохранить правила iptables после перезагрузки Ubuntu?

    printf
    @printf
    Ем детей.
    Можно установить iptables-persistent.
    Ответ написан
    Комментировать
  • Как сохранить правила iptables после перезагрузки Ubuntu?

    EKrava
    @EKrava
    в debian и ubuntu добавили пакет iptables-persistent
    который использует iptables-save/iptables-restore

    #service iptables-persistent
    Usage: /etc/init.d/iptables-persistent {start|restart|reload|force-reload|save|flush}

    после настройки правил как нужно, сделать service iptables-persistent save и при следующей загрузке они будут применены
    Ответ написан
    4 комментария
  • Возможно ли подключение двух SFP+ адаптеров через Direct Attached Cable?

    @CMHungry
    будет
    DAC - это, по сути, два трансивера SFP+ и кабельная сборка между ними
    Ответ написан
    Комментировать
  • В сетевой плате 10gb порты sfp+, будут ли работать sfp модули?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Согласно даташиту (если конечно я правильно понял вашу модель), данная карточка может работать только в режиме 10GE (802.3ae). SFP-модулей, работающих в режиме 10GE не бывает, они выпускаются только для 1GE.

    Кроме того, есть описание данного продукта и список поддерживаемых (читай, рекомендованных) модулей.

    P. S. ставьте тег "сети", чтобы вопрос видели больше участников
    Ответ написан
    4 комментария
  • ИП программист во фрилансе

    reaferon
    @reaferon
    Касса для ИП — это довольно хлопотно.
    Могу предложить такой вариант: заключите договор с платежной системой (у меня, например, с rbkmoney.ru). Выставляете заказчикам счет на оплату с помощью платежной системы, они оплачивают удобным способом (банковская карта, электронные деньги etc), деньги поступают на счет в платежной системе. В любой момент можно заказать перевод средств на р/с, при этом для налоговой все красиво (договор, отчетные документы) и никаких плясок с z-отчетами по кассе. Минус — комиссия за вывод средств, что-то около 3%. Но ведь и кассовый аппарат не бесплатен.
    Еще плюс: по кассе за каждую операцию придётся отчитываться перед налоговиками. При прохождении средств через платежную систему отчитываетесь лишь за операции перевода средств на р\с. Я, например, вывожу средства раз в квартал (хотя поступают в ПС они практически ежедневно). Соответственно, и отчетность лишь за одну операцию, что в разы проще.
    Ответ написан
    3 комментария
  • Минимальные настройки безопасности Linux на VPS?

    Tyranron
    @Tyranron
    Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

    1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

    2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

    3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

    4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

    5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

    6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

    7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

    8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

    9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

    Это была база.
    Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
    - SELinux, chroot
    - доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

    UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).
    Ответ написан
    10 комментариев