@CraSS
Flush the selected chain (all the chains in the table if none is given). This is equivalent to deleting all the rules one by one.
Здесь ничего вообще не говорится о политиках) Только удаление всех правил в дефолтоцепочках.
-P и -X нужно с соответствующими параметрами запускать, а так - да.
@tromp нет, не на youtrack. на что - может быть на яке расскажут.
джира банально сдулась, перестала справляться с объёмами. Теперь её не любят все.
Да и интерфейс инопланетянский - кто с ней раньше не работал долго долго въезжают.
@MyAlesya сервер может лечь и от одного вашего запроса из-за бага в коде.
Если быстро нажимать f5 - ничего падать не должно. В крайнем случае - вирус был.
@brume ставлю пакетами, переключаюсь на экране входа. Ну и потом через ccsm привожу к состоянию, привычному по семилетнему гномо-использованию - анимацию вырубаю лишнюю и прочее.
Для каждой убунты почему-то пакеты называются по-разному только =)
@OnYourLips wacom - это экзотическое железо, да. Дизайнеры под никсами почти не работают, фотошопа нет. Да и к тому же wacom настолько популярен только в СНГ.
Самому wacom просто пофиг.
@HeadOnFire
1) качественных мануалов по дебиану сильно больше. Именно качественных.
Начинать с убунты - достаточно глупая идея. В своём желании стать user-friendly она далеко ушла от оригинальных дебиановских конфигов (которые just works, as secure, as we can do it out from box или как там Ян выражался). Да и конфиги в убунте на кой то черт от версии к версии сильно меняются, поэтому многие мануалы для 10.04 на 12.04 уже не работают. Базовые мануалы по Etch же легко применимы и на Wheezy (разве что версии софта сменились с тех пор).
2) я про коннтрак уже написал в комментариях к ответу. При малом количестве памяти коннтрак скорее сделает больше зла. А тем более, если о коннтраке вообще не знать.
3) сделать почту send-only - очень легко. Поднять нормальный почтарь с popd/imapd - действительно каторга.
> А что вы скажете по поводу FreeBSD? Подумывал ее использовать...
Виртуалок на FreeBSD почти нет в продаже. Ну и вообще настраивать софт в ней достаточно геморройно. Начинать с неё я бы не советовал - придется писать большую часть конфигурации самостоятельно (например, для включения php), так что вероятность прострелить себе ногу выше. С другой стороны, в *BSD сильно проще получить шуструю и минимальную конфигурацию (так как всё "лишнее") отключено из коробки, но и опыт нужен соответствующий.
@hbuser
> Ребята западные навеяли новую концепцию разработки веб-приложений
Это правильно. Я у себя в бложеке планирую в ближайшие пару недель написать, почему нельзя использовать shared-хостинги.
> А вам еще раз спасибо.
Та не за чт)
> Сюда ведь можно еще прибавить некоторые базовые настройки уже по профилю LAMP?
По вкусу. Есть куча способов усилить безопасность стека LAMP, но они же и снижают производительность - suhosin (хотя его как раз я советую не выключать), amon.so, mod_security для апача/nginx-а в конце концов. Другой вопрос - зачем?
Проиграете по производительности, большей безопасности не получите. От массовых атак описанное мной защищает в достаточной степени, от целенаправленной атаки на уровне настроек ОС защититься почти невозможно.
Вот в последний раз, например, у меня вывели из строя сервис очень хитрым способом. Поддосили, не получилось. Потыкались в уязвимости - ничего не нашли. Потыкались SQL-инжектами - не работают. Пошли и заддосили внешнее API, которое использовал сервис (дергал на самой-самой важной странице эту апишку, чтобы циферки пользователю показать) - вуаля, мой сервис упал. Это, конечно, не взлом, но суть должна быть понятна =)
Проще куки или пароль у админа угнать трояном, чем ломать debian, в котором не гадили.
> И еще. Файерволл тоже нужно настраивать или из коробки то,
Из коробки всё открыто. Я обычно прячу ssh, остальным заниматься лень.
Тут проблема в том, что безопасная конфигурация fw (точнее, netfilter c iptables) возможна только с использование connection tracking - а это приличное количество ram, вероятные тормоза, вероятность дропов коннектов, потому что переполнилась таблица трекинга.
В общем, я всё это к тому, что безопасность сервера во многом зависит от того, какой код там запускается. Если у вас наружу торчит скрипт, через который можно залить шелл - то никакие настройки в ОС не помогут. И напротив, если сервис, запущенный на сервере, в достаточной степени безопасен - то и за систему можно не сильно беспокоиться (свыше того, что я написал, нет смысла, если у вас там не деньги чужие).
Если что - есть бэкапы.