• Достаточно ли только настройки hosts.allow hosts.deny для защиты от злоумышленников?

    athacker
    @athacker
    Нет, недостаточная. Обеспечение безопасности -- это целый комплекс мер, и чем больше уровней защиты, тем лучше. Как минимум, стоит добавить ещё правила на файрволе.

    Ну и прописывать список IP, с которых вы планируете подключаться к серверу по SSH -- так себе идея :-) Это сейчас вы на конкретном IP сидите, а потом выйдете прогуляться, вам позвонят и скажут, что "сайт упал", а ближайший интернет -- в каком-нибудь кафе. Вы такой подключаетесь к их вайфаю, ломитесь на сервак и... опа -- облом! Вы же ограничили возможность входа только для своего домашнего IP.

    Идеологически верно для сервера, торчащего напрямую в интернет, перенести SSH на нестандартный порт и открыть возможность подключения с любого IP. А авторизацию сделать не по паролю, а по ключу, и ключ тоже сделать защищённым паролем.

    MySQL наружу высовывать тоже идея не фонтан, тут правильнее было бы построить какой-нибудь вариант туннеля. Хотя, если жёстко зажать файрволом список IP, с которых можно подключиться к MySQL -- то сойдёт. Но я бы всё равно так делать не стал, так как данные будут ходить в открытом виде по интернету. Поэтому стоит завернуть MySQL-трафик в шифрованный туннель любого рода -- SSH, IPsec, l2tp, что угодно.
    Ответ написан
    3 комментария
  • Администрирование Linux - актуально ли?

    athacker
    @athacker
    Если собираетесь куда-то из города валить, или есть потенциальная возможность устроиться в такое место, где будут нужны юниксовые сервера и прочие нано-технологии, то начать изучать что-то очень просто.

    Придумайте себе сеть организации. С доменами Active Directory, с внутренней почтой (сначала, допустим, на linux/FreeBSD/postfix/dovecot, а потом -- на Exchange, или наоборот), с внутренними DNS и DHCP-серверами.

    С файловыми серверами, доступ к которым на уровне доменных учётных записей и групп распределяется. И запилите эту сеть на виртуальных машинах. Несколько виртуальных серверов Windows/Unix, парочку клиентских станций с виндой/линуксом.

    Поднимите свой веб-сервер, нарисуйте на нём простенький веб-сайт на базе какой-нибудь популярной CMS типа Joomla, Wordpress, чо-там-ещё-нынче-модно.

    Потом придумайте этой конторе удалённый филиал, и постройте инфраструктуру для него, и чтобы между ними ещё и VPN был, и с маршрутизацией правильной, чтобы машины из одного филиала видели другой, и наоборот.

    А потом сделайте так, чтобы VPN-канал между филиалами был зарезервирован через двух разных провайдеров, да причём переключения производились автоматически и абсолютно прозрачно для клиентов. В этом вам поможет динамическая маршрутизация и протоколы OSPF или BGP.

    Факультативно -- можете поднять в удалённом филиале так называемый RoDC -- read-only domain controller :-)

    Вот когда всё это запилите, то приходите за новым заданием.

    А если же не собираетесь валить из города, или нет никакой вообще возможности устроиться в контору с юниксами и нано-технологиями, то лучше переориентироваться на программерство. Программерам найти удалённую работу значительно проще, чем админам.
    Ответ написан
    6 комментариев