• Почему zabbix не убирает старые события?

    opium
    @opium
    Просто люблю качественно работать
    к вопросу о почистить базу есть отличная статья на хуябиксе
    https://huyabbix.com/cleaning-up-zabbix-database/
    Ответ написан
    2 комментария
  • Атака на мой бедный микротик через ssh- это боты или кому то мой бедный роутер понадобился?

    @moneron89
    Сертифицированный тренер Mikrotik
    Я могу посоветовать использовать следующую цепочку в файерволе:
    /ip firewall filter
    
    add action=jump chain=input comment="sshbruteforces chain" connection-state=\
        new dst-port=22 jump-target=sshbruteforces protocol=tcp
    add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
        src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
        address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new
    add chain=sshbruteforces dst-port=22 protocol=tcp
    add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
        no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
    add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
        protocol=tcp src-address-list=ssh_blacklist

    Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
    Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
    UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней
    Ответ написан
    8 комментариев
  • Как правильно настроить Nginx с сертификатом WoSign чтобы получить A+?

    Ernillew
    @Ernillew
    Администрирую *nix-системы с 1997 года
    Вот так?

    Ну вот пример из моего конфига.
    A+, как можно видеть в тесте.

    add_header Strict-Transport-Security "max-age=31536000";
      add_header X-Frame-Options DENY;
      add_header X-Content-Type-Options nosniff;
      ssl                  on;
      ssl_protocols        TLSv1.2;
      ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;
      ssl_session_cache    shared:SSL:10m;
      ssl_verify_client    off;
      ssl_session_timeout  5m;
      ssl_prefer_server_ciphers on;
      ssl_ecdh_curve secp521r1;
      ssl_dhparam /path/to/dh.key;
      ssl_certificate /path/to/ssl.crt;
      ssl_certificate_key /path/to/ssl.key;
      ssl_trusted_certificate /path/to/ssl.bundle;
      ssl_stapling on;
      ssl_stapling_verify on;
      ssl_stapling_responder http://ocsp2.wosign.cn/ca2g2/server1/free;
      resolver 8.8.8.8;
      ssl_session_tickets on;
      ssl_session_ticket_key /path/to/ticket.key;
    Ответ написан
    Комментировать
  • Как клонировать систему с одного диска на другой?

    Melkij
    @Melkij
    PostgreSQL DBA
    - загружаюсь с флешки с GParted и по образцу и подобию диска1 восстанавливаю разметку диска2 (флаги, метки в том числе)
    - загружаюсь с флешки с CloneZilla и по очереди клонирую разделы диска1 (нормального) на диск2 (пациента)

    Заменить на:
    - загружаетесь с любого livecd и делаете dd if=/dev/sdb of=/dev/sda bs=1M.
    Ответ написан
    1 комментарий
  • Какой роутер выбрать для офиса с 1Gbps WAN?

    @Keyfors
    Посмотрите в сторону Zyxel USG100-PLUS
    Ответ написан
    Комментировать