На сайт могут заходить с ПК, потом сменить IP и зайти с эмулятора, и будет выглядеть будто это два разных человека.Такой ерундой мало кто страдает. Есть куча анонимайзеров, есть tor-браузер, есть ещё способы менять свой IP, которые намного проще и юзабельнее чем запуск эмулятора и попытка зайти с него.
1. Как должны быть распределены пользователи и группы nginx, php-fpm, проекта? (т.е. от кого процесс запускается, и кто в какую группу входит)Уже правильно распределены.
2. Где правильно располагать папку проекта, под чьими правами и какие там должны быть разрешения для файлов и папок?Желательно отдельный выделенный радел, чтобы можно было понакрутить в параметрах монтирования всякие nosuid, nodev. Хотя и так сойдёт. Пользователь nginx или кто там ещё есть.
3. Нужно ли отключать SELinux?Не нужно. Если умеешь его готовить, то всё остальное не нужно.
4. Или я всё делаю неправильно и нужно использовать docker?Изоляция, которую даёт docker, не основная его функция.
Как защитить свои сервера от от элементарных ddos атак по tcp/udp?Смотря какой они интенсивности. Если атака на канал или на протокол, то сетевые фильтры ОС не помогут.
Есть ли бесплатные решения для защиты своими средствами без привлечения посторонних организаций?Был во последнем релизе FreeBSD какой-то инструмент для борьбы с этой напастью. Только этот способ особенно бесплатным не назовёшь: нужно покупать дополнительно сервера, настраивать ПО, поддерживать.
Как защитить от ddos по tcp/udp?Есть Cloudflare с интересными предложениями и самой распределённой системой фильтрации.
Хочу соорудить сетевой экран. Для этого используется машина под win7 с двумя сетевыми картами.Вот это зря.
Есть приблуда, которая организует прокси с адресом 127.0.0.1:1090 внутри машины.Не совсем понятно зачем использовать прокси на петле обратной связи, для функционала межсетевого экрана. Это как бы немного другой уровень сетевого стека.
Есть IP на который идет куча пакетов данныхКуча - это сколько pps?
На данный момент если ложится эта программа или сервер на котором находится программа, то проект полностью накрывается медным тазомРасследование, почему постоянно при повышении нагрузки программа ложится, было? Источник отказа найден? Виновный наказан?
Вопрос - как сделать этот центральный узел более надежным?В больших проектах, где шишки уже набиты и мазоли натёрты, в первую очередь думают о высокой доступности, надёжности, масштабируемости и безопасности, а не о CD/DI, системах автоматизации чего всего подряд, докере и всяких новомодных фичах.
Как это реализуется в больших проектах?
Знакомый изначально провод 100% не переобжимал. Так завел провайдер.Страдают такой фигнёй некоторые провайдеры последней мили. Хреначат какую-то свою хитрую систему обжимки. Она меняется от провайдера к провайдеру.
С чем может быть связана такая интересная схема?Чтобы, когда какой-нибудь умник полез со своим кабелем обжатым стандартно, у него ничего не вышло. Типа защиты через неясность.
Стоит задача, зашифровать трафик до сбербанка отдельным каналомКакая разница, какими путями пойдёт зашифрованный трафик? Тем более пути могут меняться по несколько раз за минуту.
дабы быть спокойнымЕсли в канале будут передаваться персональные данные, то применять можешь только разрешённое ФСТЭК и ФСБ шифрование. Иначе спокойствия не видать.
возможно ли разом собрать этот список?Как собираешься влиять на маршрут движения пакета между тобой и сбером? Это очень важный вопрос.
для чего нужны и за что отвечают: ldap, kerberos , winbind,sssd ?AAA (Authentication Authorization and Accounting) в той или иной степени.
Подлючен "Домашний интернет Beeline". Тариф 100 Мбит.Где? Скорость между твоим хостом и шлюзом провайдера?
На SpeedTest до местных серверов показывает в среднем 70-80 Мбит на прием. (и то это в лучшем случае). Обычно чуть ли не в 2 раза меньше.Это за пределами сети провайдера. Там может происходить всё что угодно.
До других рандомных серверов показывает в 8-10 раз меньше в среднем на прием, а на отдачу еще меньше.
Должно ли так быть или провайдер что то мудрит?
PS. В поддержку звонил, сказали что все норм...мдаОу. Там иначе быть не может.
Есть ли смысл шифровать виртуальные машины, если сам ESXi незашиврованРассуждай сам. Взяли и просто клонировали твою систему. Пароль привилегированного пользователя перебить достаточно просто. Хотя это делать не нужно. Нужны определённые данные: файлы приложения, база данных, логи - это всё стаскивается с диска довольно легко. Теперь считай потери от того что твои данные полностью ушли.
может получить доступ к зашифрованной виртуальной системеПо идее нет. Но самолично хочу это перепроверить.
Если у кого есть опыт, подскажите, насколько падает производительность гостевой системы?Давно это было. На те года падение было в районе от 15% до 35%. Многое зависит от того как приложения работают с диском.