Александр Карабанов

Зависит от приложения. Если говорить о конфигурации (для mysql это /etc/mysql/my.conf если не ошибаюсь) то её purge удалит. Если говорить о содержимом БД то его было бы немного некорректно удалять автоматически. Например, я ставил MariaDB - она по зависимостях удаляет MySQL, но подхватывает её БД. Я бы был сильно удивлен, если бы обнаружил пропажу баз и таблиц при таком обновлении.

Основная масса таких файлов (хотя это весьма редкое явление) лежит в /var/lib и /usr/share (судя по моим наблюдениям). Так же можете сделать поиск по файловой системе с названием пакета.

Второе - это конфигурация пользователя. Например, если вы удалите браузер, или оконный менеджер - их настройки останутся в домашней папке пользователя, хотя в остальной части системы будет число. Обычно такие настройки лежат в:
~/
~/.config
~/.local/share
Можете просмотреть там и удалит ненужное. В худшем случае приложение загрузится с настройками по умолчанию (только не трогайте папки типа .gnugpg, .ssh, .pki и прочее что может быть связано с входом в аккаунт и подобным, удаляйте только те названия, о которых знаете что это).

Третье - это gconf/dconf хранилища настроек - что-то типа реестра в Windows. Удаление разделов только через терминал, при желании можно пользоваться.

Ну и последнее - когда ставите пакеты - перечисляйте минимальный набор пакетов. Например, если вам нужен веб-сервер с Apache2, PHP и MySQL - проще всего сначала поставить mysql-server, а потом PhpMyAdmin, который потянет за собой все нужные зависимости (или вручную mysql-client apache2 php5). Рекомендую использовать synaptic - выбрав пакет для установки получите список того, что устанавливается по зависимостях, возможно одного пакета будет достаточно (например часто советуют ставить пакеты nvidia-current nvidia-settings, когда первого достаточно, он потянет второй по зависимостях). В таком случае когда вы снесете пакет - все зависимости будут предлагаться для удаления автоматически, а когда вы вводите список пакетов в три строчки - для чистоты придется смотреть и удалять все по очереди вручную, иначе они будут стоять вечно, ибо установленные вручную и вроде как нужны кому-то. Ещё иногда ставятся пакеты которые рекомендуются, они после удаления могут не предлагаться для удаления; отказаться от таких пакетов можно так:

apt-get install --no-install-recommends unity
Получилась почти статья, но в целом это всё. Такое использование системы позволяет держать её чистой долгое время в отличии от Windows, где сборка мусора неизбежна. Здесь есть весьма ограниченное количество мест, в которых могут остаться файлы, и их легко найти.

Как пример - моя система обновлялась с 12.04, сейчас уже месяца четыре как стоит 14.04, при чем раз или два делал даунгрейд, например с 14.04 до 13.10, но потом опять обновление до 14.04. При этом система чистая, и быстрая.

А ещё если появляются какие-то проблемы - в 99% их можно решить без переустановки, просто спросите у людей.

ip nat inside source list 101 interface Dialer0 overload
access-list 101 permit ip 10.35.5.0 0.0.0.255 any
access-list 101 permit ip 172.16.0.0 0.0.255.255 any
ip nat inside source static tcp 10.35.5.213 8888 157.153.12.69 8888 extendable

А далее вешай на внешний интерфейс (в примере Dialer0) созданный acl
ip access-group 101 in

Во первых, не нужно светить рекурсивным DNS в интернет.

Для bind это выглядит так:

//disable recursive requests from outside
        allow-recursion { 127.0.0.1; 
                                   ::1; };

Приведенные вами правила iptables никак не решают задачу защиты от dns amplification.

В следствии, iptables разрешит принять запрос на 53 порт с сервера злоумышленника, а вот далее при отправке ответа на подставной сервер iptables сбросит ли соединение? Ответ ведь разрешен только на тот сервер, с которым установлено соединение.

Так как в случае этой атаки используется UDP, никакие соединения не устанавливаются. Атакующий отправляет ОДИН UDP пакет с запросом (в котором source адрес заменен на атакуемый ip) и ваш сервер отправляет один пакет с ответом на этот запрос, на тот адрес который был указан в source. Состояние NEW,ESTABLISHED в таком случае вполне корректно.

Атака с подменой source адреса не возможна в случае с TCP, так как для установления соединения используется несколько пакетов в обе стороны. SYN->ACK<--SYN_ACK и только после этого открывается соединение. А так как в случае с подменой исходящего адреса ответ сервера на SYN уйдет по другому адресу, соответственно на него никто не ответит SYN_ACK.

Для решения вашей задачи нужно использовать ограничение запросов с одного адреса:

# Requests per second
RQS="15"

# Requests per 7 seconds
RQH="35"

iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSQF --rsource
iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${RQS} --name DNSQF --rsource -j DROP
iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSHF --rsource
iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 7 --hitcount ${RQH} --name DNSHF --rsource -j DROP

$lastTime = microtime(true);

for($i = 1; $i <= 1000; $i ++){
    while (true)
    {
           $new_last = microtime(true);
           if ($new_last - $lastTime > 0.010)
           {
                    $lastTime = $new_last;
                    break;
           }
    }

    /*
    * какой-то код
    */
}

Для этого хоста, пропиши статику на самом DHCP, Пусть компьютер как и раньше получает IP динамически, но он у него будет постоянным. Все остальные настройки будут как у всех остальных