myppomeu

• Deployment checklist
  
• Nginx + Gunicorn
  

tar zcf - tobearchived | ssh user@destination_server_ip 'tar zxf -'
Жмёт со сжатием в tar, отдаёт поток сжатого по ssh, на той стороне запускается tar и распаковывает.
В цепочку можно добавить любой архиватор по вкусу.

Для ускорения канала - выкидываем сложную шифрацию в настройках SSH, оставить какой-нибудь RC4, компрессия скорей всего тоже будет только замедлять.

я так дамп сервака делаю периодически :)

Насколько я помню USB накопители при регистрации создают разделы в этой ветке реестра.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

По идее, если наглухо закрыть возможность записи в эту ветку, то подключить флешку не получится, а если флешка уже прописана там, то она должна работать без проблем.

Вам получается нужно удалить все флешки прописанные в этой ветке на данный момент, подключить все "нужные" флешки чтобы они прописались, после чего запретить запись в ветку для всех.
Как-то так.
Сам не пробовал, нужды не было, обычно просто вырубал USB, поэтому насколько такое решение надежно и возможно ли его обойти сказать не могу.

Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

Это была база.
Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
- SELinux, chroot
- доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).

Через прописывание квоты в ненужное поле данных прльзователя и прикручивание этого поля в доп.настройках ldap в онклоуде

Судя по трейсу, проблема не в установке telebot, а в отсутствии экспорта integer_types в compat из пакета requests.
Попробуйте обновить модуль requests:
sudo `which pip3.4` install requests
По крайней мере, для python3.4 c версией пакета requests-2.12.3 из pip3.4 все в порядке:

>>> import requests
>>>

Можно так же попробовать установить конкретную версию пакета:
sudo `which pip3.4` install requests==2.12.3

1. в показанном пути пробела быть не может, следовательно команда перехода должна выглядеть как:
cd /media/${USER}/DEF26716F266F1E7
2. что бы увидеть содержимое диск должен быть смонтирован:
- либо предварительно открыть его в обозревателе файлов
- либо монтировать соответствующий раздел вручную, на прим. от рута выполнить mount /dev/sdaN /media/user_name/DEF26716F266F1E7 Где /dev/sdaN раздел N на первом диске, так же может быть не sda а sd{b/c/d} и т.д. Что бы увидеть это воочие выполни ls -l /dev/ | grep sd посмотри вывод, воткни флешку в ПК и повтори команду
3. Почитать литературу про mount и fstab

UPD:
${USER} это переменная которая хранит в себе имя текущего пользователя

Спасибо всем за советы, они подтолкнули меня к правильному решению.
Собственно решение.
Все решается путем редактированием файла /etc/ssh/sshd_config

1. Разрешим доступ только пользователю user и пусть заходит откуда хочет.
   AllowUsers user
   
2. Создадим директиву разрешающую пользователю user только SFTP и определим ему директорию (у меня это уже было)
   Match User user
   ChrootDirectory /ftp/user/
   ForceCommand internal-sftp
   
3. Создадим директиву разрешающую доступ по SSH пользователю admin только если ip адрес клиента входит в диапазон локальных адресов
   Match Address 192.168.0.0/24
   AllowUsers admin
   

Может кому пригодиться.

А можно не собирать из исходников, а просто установить: faketime - есть в репо :)
Запуск тривиален: $ faketime -f '-1y' path_to_program

https://github.com/wolfcw/libfaketime

У меня стояла похожая задача: кучка етокенов, иногда с одинаковыми vid и pid, расставлены по usb-портам и через usb-хаб в том числе. ОС Linux Debian 8.
Однозначно идентифицировать етокен нельзя, так как отсутствует уникальный серийный номер. Зато серийный номер присутствует у каждого usb root hub, встроенного в мат.плату. Значит можно жёстко определить для каждого root hub его busnum, и если не вытаскивать токены, то devnum у них будет постоянным.

Вытащил все токены и, используя lsusb, узнал, что у меня 8 usb root hub, каждый занимает устройство номер 1:

Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

После этого узнал серийный номер каждого root hub, меняя 005 в диапазоне от 001 до 008:

root@srv:~# udevadm info -a /dev/bus/usb/005/001 | grep serial
    ATTR{serial}=="0000:00:1a.2"

На основе серийников сделал правило для udev (создал файл в /etc/udev/rules.d/ файл 10-usb.rules):

SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.7", ATTR{busnum}="1"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.7", ATTR{busnum}="2"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.0", ATTR{busnum}="3"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.1", ATTR{busnum}="4"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.2", ATTR{busnum}="5"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.0", ATTR{busnum}="6"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.1", ATTR{busnum}="7"
SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.2", ATTR{busnum}="8"

Произвёл перезагрузку, токены остались на своих местах.
Вам ещё можно дописать правила на создание именных симлинков на основании busnum и devnum каждой камеры.