• Почему windows 10 тормозит, а Linux нет?

    take
    @take
    я люблю любить
    Потому, что Windows 10 сделан ради денег алчными, испорченными людьми, а Linux с любовью и бесплатно.
    Ответ написан
    Комментировать
  • Как зашифровать соединения определенной программы?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    www.proxycap.com
    1. Поднимаете Windows OpenSSH на одной из машин.
    2. Настраиваете SSH Tunnel:
    pcap_ssh_proxy.gif
    3. Настраиваете правило для программы:
    pcap_quick_add.gif
    4. Коннектитесь:
    pcap_stat_ssh.gif
    Ответ написан
    Комментировать
  • Как перенести большой объем данных с сервера на сервер?

    @remzalp
    Программер чего попало на чем попало
    tar zcf - tobearchived | ssh user@destination_server_ip 'tar zxf -'
    Жмёт со сжатием в tar, отдаёт поток сжатого по ssh, на той стороне запускается tar и распаковывает.
    В цепочку можно добавить любой архиватор по вкусу.

    Для ускорения канала - выкидываем сложную шифрацию в настройках SSH, оставить какой-нибудь RC4, компрессия скорей всего тоже будет только замедлять.

    я так дамп сервака делаю периодически :)
    Ответ написан
    1 комментарий
  • Как запретить работу левых накопителей на офисных пк?

    Jump
    @Jump
    Системный администратор со стажем.
    Насколько я помню USB накопители при регистрации создают разделы в этой ветке реестра.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

    По идее, если наглухо закрыть возможность записи в эту ветку, то подключить флешку не получится, а если флешка уже прописана там, то она должна работать без проблем.

    Вам получается нужно удалить все флешки прописанные в этой ветке на данный момент, подключить все "нужные" флешки чтобы они прописались, после чего запретить запись в ветку для всех.
    Как-то так.
    Сам не пробовал, нужды не было, обычно просто вырубал USB, поэтому насколько такое решение надежно и возможно ли его обойти сказать не могу.
    Ответ написан
    Комментировать
  • Минимальные настройки безопасности Linux на VPS?

    Tyranron
    @Tyranron
    Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

    1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

    2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

    3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

    4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

    5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

    6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

    7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

    8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

    9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

    Это была база.
    Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
    - SELinux, chroot
    - доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

    UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).
    Ответ написан
    10 комментариев
  • Что делать когда слетают квоты пользователей ownCloud?

    @Wallery
    Через прописывание квоты в ненужное поле данных прльзователя и прикручивание этого поля в доп.настройках ldap в онклоуде
    Ответ написан
    1 комментарий
  • Почему не импортируются пакеты поставлены через pip после обновления Fedora?

    @theg4sh
    Судя по трейсу, проблема не в установке telebot, а в отсутствии экспорта integer_types в compat из пакета requests.
    Попробуйте обновить модуль requests:
    sudo `which pip3.4` install requests
    По крайней мере, для python3.4 c версией пакета requests-2.12.3 из pip3.4 все в порядке:
    >>> import requests
    >>>

    Можно так же попробовать установить конкретную версию пакета:
    sudo `which pip3.4` install requests==2.12.3
    Ответ написан
    Комментировать
  • Прозрачное прокси через роутер?

    jamakasi666
    @jamakasi666 Куратор тега Linux
    Просто IT'шник.
    Объясняю логику.
    192.168.10.1 -ип роутера
    192.168.10.5 - ип компа с фиддером. Порт прокси например 8080
    На фаирволе роутера разрешаешь выход трафика на 80 и 443 порт в инет только с ип 192.168.10.5.
    На фаирволе роутера весь трафик кроме ип 192.168.10.5 с портом назначения 80 и 443 заворачиваешь на ип 192.168.10.5:8080.

    В итоге трафик от любых клиентов на веб сервисы 80(http) и 443(https) долетает до роутера, заворачивает на фиддер, заворачивает из фиддера на роутер и попадает в инет. При этом доступ на все остальные порты будет происходить напрямую через роутер минуя фиддер.
    PS не забудь перевесить вебморду dd-wrt на другой порт =D
    Ответ написан
    2 комментария
  • Как подготовиться к закону Яровой?

    @nirvimel
    1. Купите недорогой VPS (от $15/год, можно даже дешевле) и поднимите на нем личный VPN. В Сети есть куча подробных руководств как это делается. Только не надо говорить, что у вас нет на это денег, интернетом вы же не бесплатно пользуетесь. Просто примите это как небольшую дополнительную плату за интернет за ваш спокойный сон.
    2. Работая через VPN (обязательно), заведите себе новый почтовый ящик на зарубежном сервере у компании, у которой нет никакого бизнеса и любых коммерческих интересов в РФ. Пусть это будет не мажорный гигант индустрии, а скромная компания, малоизвестная в РФ. Главное - это наличие SSL в веб-интерфейсе и в IMAP, в остальном почта есть почта, она просто работает, и этого достаточно.
    3. Работая через VPN, заведите себе новый аккаунт в vk facebook и/или google (если вы неспособны полностью отказаться от использования социалок). При регистрации указывайте место проживания подальше от РФ. Учитывайте, что все гиганты индустрии, имеющие большой бизнес в РФ, полностью сотрудничает с ГБ, но аккаунты нерезидентов, зарегистрированные и посещаемые с зарубежных IP, они не станут сливать по умолчанию (но по первому запросу сольют мгновенно). Так что забудьте про любые приваты в социалках, ведите все общение так, как будто все это читает весь ваш квартал и все те, кому бы вам меньше всего хотелось это показывать. Для приватного общения пользуйтесь только безопасной почтой (пункт 2) и защищенными чатами, на telegram jabber на зарубежных серверах. Все это касается только тех, кто не может окончательно завязать с пагубной зависимостью от соц.сетей. Очевидно, наиболее безопасным (и полезным для здоровья) вариантом является полный отказ от социалок.
    4. Не вбрасывайте в старые ящики и соц.аккаунты адреса и ссылки на новые чистые, не указывайте новые адреса в любых исходящих и старайтесь, чтобы они не попали во входящие. Помните, что в любой социалке и любом веб-интерфейсе почты (сотрудничающей) кнопка "удалить" скрывает удаляемое только от вас самих и не более того.
    5. (Самый неприятный пункт) Забудьте про vk, mail.ru и российские gmail и facebook. - КАК? - Так! Я понимаю, что это не легко, что они давно стали частью вашей жизни. Но это придется сделать! Поговорите сами с собой, спросите себя что для вас важнее: ваша личная безопасность, спокойствие и крепкий сон или старые привычки, которыми вы опутаны, и которые не хотят отпускать вас? Учтите, что продолжая пользоваться местными социалками (и сотрудничающими иностранными), вы продолжаете каждый день генерировать на себя тонны компромата, который может обернуться против вас в самый неожиданный момент самым неприятным образом. Проявляя активность в своих старых аккаунтах, вы не даете им "протухнуть" и не даете даже формального повода добрым компаниям снести их через пол года, после истечения отведенного законом срока хранения (как известно, vk не ограничивается минимальным сроком хранения, а хранит все метаданные и текст практически вечно за исключением видео/аудио).
    Ответ написан
    26 комментариев
  • Как перейти в раздел жесткого диска в терминале Linux (Google не помог)?

    @MrSotariz
    1. в показанном пути пробела быть не может, следовательно команда перехода должна выглядеть как:
    cd /media/${USER}/DEF26716F266F1E7
    2. что бы увидеть содержимое диск должен быть смонтирован:
    - либо предварительно открыть его в обозревателе файлов
    - либо монтировать соответствующий раздел вручную, на прим. от рута выполнить mount /dev/sdaN /media/user_name/DEF26716F266F1E7 Где /dev/sdaN раздел N на первом диске, так же может быть не sda а sd{b/c/d} и т.д. Что бы увидеть это воочие выполни ls -l /dev/ | grep sd посмотри вывод, воткни флешку в ПК и повтори команду
    3. Почитать литературу про mount и fstab

    UPD:
    ${USER} это переменная которая хранит в себе имя текущего пользователя
    Ответ написан
    8 комментариев
  • Как запретить конкретному пользователю доступ по SSH при соединение на конкретном интерфейсе?

    @the_bizzon Автор вопроса
    Спасибо всем за советы, они подтолкнули меня к правильному решению.
    Собственно решение.
    Все решается путем редактированием файла /etc/ssh/sshd_config
    1. Разрешим доступ только пользователю user и пусть заходит откуда хочет.
      AllowUsers user
    2. Создадим директиву разрешающую пользователю user только SFTP и определим ему директорию (у меня это уже было)
      Match User user
      ChrootDirectory /ftp/user/
      ForceCommand internal-sftp

    3. Создадим директиву разрешающую доступ по SSH пользователю admin только если ip адрес клиента входит в диапазон локальных адресов
      Match Address 192.168.0.0/24
      AllowUsers admin



    Может кому пригодиться.
    Ответ написан
    Комментировать
  • Стоит ли привлекать к защите домашних данных виртуальные машины?

    index0h
    @index0h
    PHP, Golang. https://github.com/index0h
    Для разработки и экспериментов - это вполне хороший подход. На счет всей остальной деятельности - похоже на паранойю, у вас входной ip все равно общий.
    Правда эту паранойю можно немножко развить, если ваши виртуалки будут:
    * разбросаны по миру
    * не будут содержать информации о вас
    * не будут содержать информации друг о друге
    * в случае попытки взлома будут самоуничтожаться на уровне железа (например с помощью промышленной пиротехники)
    * вы будете пользоваться ими с разных мест разными "однодневными" устройствами
    * пользоваться разными защищенными каналами связи
    * для сообщений будете использовать элементы стеганографии.
    Вот в этом случае вас раскрыть будет довольно трудоемко и дорого.

    -- --

    Чуть не забыл, обязательно снимайте шапочку из фольги перед тем как вас кто-то увидит, когда без шапочки - думайте о сиськах и котиках. Если были случаи бормотания во сне - с этим надо что-то делать, вы можете себя выдать.
    Ответ написан
    2 комментария
  • Изменить локальное время для программы?

    slavikse
    @slavikse Автор вопроса
    А можно не собирать из исходников, а просто установить: faketime - есть в репо :)
    Запуск тривиален: $ faketime -f '-1y' path_to_program
    Ответ написан
    Комментировать
  • Как задать определенный dev каждой из двух одинаковых вебкамер в линукс?

    Energoblock
    @Energoblock
    Geek
    У меня стояла похожая задача: кучка етокенов, иногда с одинаковыми vid и pid, расставлены по usb-портам и через usb-хаб в том числе. ОС Linux Debian 8.
    Однозначно идентифицировать етокен нельзя, так как отсутствует уникальный серийный номер. Зато серийный номер присутствует у каждого usb root hub, встроенного в мат.плату. Значит можно жёстко определить для каждого root hub его busnum, и если не вытаскивать токены, то devnum у них будет постоянным.

    Вытащил все токены и, используя lsusb, узнал, что у меня 8 usb root hub, каждый занимает устройство номер 1:
    Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
    Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
    Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub


    После этого узнал серийный номер каждого root hub, меняя 005 в диапазоне от 001 до 008:
    root@srv:~# udevadm info -a /dev/bus/usb/005/001 | grep serial
        ATTR{serial}=="0000:00:1a.2"


    На основе серийников сделал правило для udev (создал файл в /etc/udev/rules.d/ файл 10-usb.rules):
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.7", ATTR{busnum}="1"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.7", ATTR{busnum}="2"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.0", ATTR{busnum}="3"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.1", ATTR{busnum}="4"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1a.2", ATTR{busnum}="5"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.0", ATTR{busnum}="6"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.1", ATTR{busnum}="7"
    SUBSYSTEM=="usb", ATTR{devnum}=="1", ATTR{serial}=="0000:00:1d.2", ATTR{busnum}="8"


    Произвёл перезагрузку, токены остались на своих местах.
    Вам ещё можно дописать правила на создание именных симлинков на основании busnum и devnum каждой камеры.
    Ответ написан
    1 комментарий
  • Какую роль играет filsesystem.squashfs в загрузочном диске Ubuntu?

    @lovecraft
    SquashFS - это образ ФС, упакованный настолько, насколько возможно, в нем сжаты не только файлы, но и таблица их размещения, из разряженных файлов удалено свободное место, используется дедупликация и т.п. Образ доступен только для чтения, модифицировать его без распаковки и повторной упаковки невозможно. Поскольку LiveCD все же нужно что-то писать на диск, этот вопрос решается с помощью каскадно-монтируемой ФС, которая использует для записи временный каталог в RAM.
    Ответ написан
    Комментировать
  • Как сделать ссылки file:// открывающимися?

    @nirvimel
    Доступ к протоколу file:// может быть только со страницы, открытой по протоколу file://
    Ответ написан
    1 комментарий
  • Почему вместо релиза Firefox 45 ESR с официального сайта скачивается 38 версия?

    Там сверху есть переключатель Show: Firefox 45 / Firefox 38.
    У меня отлично качаются обе версии.

    UPD: https://support.mozilla.org/en-US/kb/get-latest-ve...
    Ответ написан
    8 комментариев
  • Скажите что это так нагружает мой сервер?

    VladimirAndreev
    @VladimirAndreev
    php web dev
    mysql...
    Ответ написан
    Комментировать