Comments 135
Аминь.
А что если по-умолчанию запрещать авторизацию по паролю и требовать от пользователя публичный ssh-ключ?
Правда это еще сложнее. Так как потребуется объяснять как пользоваться ssh-авторизацией по ключу…
Правда это еще сложнее. Так как потребуется объяснять как пользоваться ssh-авторизацией по ключу…
AWS так делает и не страдает особо.
Это была первая мысль, которую я говорил — аплоад открытого ключа при установке. Но идею зарезали как «слишком сложную», и я прихожу к мысли, что да, таки «слишком». Кому надо, сам скопирует и закроет вход по паролю, а остальные вынесут мозг инженерам службы поддержки вопросами про то, что это такое, как его делать и почему «оно меня не пускает».
Ключевая парадигма, в рамках которой делаются фичи облака: легко для тех, кто знает, не тревожа тех, кто не знает. Это не всегда удаётся, но в этом направлении мы работаем.
Ключевая парадигма, в рамках которой делаются фичи облака: легко для тех, кто знает, не тревожа тех, кто не знает. Это не всегда удаётся, но в этом направлении мы работаем.
А как насчет того факта, что генерированный пароль будет легким для брутов? Или вы проверяете генерируемые пароли по какой-то схеме? Почему бы тогда эту схему не применить к проверке пользовательского пароля?
А как насчет хоть какой-нибудь защиты от брута?
А как насчет хоть какой-нибудь защиты от брута?
А сколько вам времени понадобится что б забрутить такой пароль — QWMYEszYDoa767nPd3?
Я такие пароли делаю из /dev/urandom (%
Я такие пароли делаю из /dev/urandom (%
По-моему, кто-то уже писал, что в таком случае, пользователь записывает этот пароль на стикере и клеит его на монитор, чтобы не забыть.
Сорок тысяч обезьян в жопу сунули банан. (Deep. Enter)
либо более сложный вариант — Стадо голых обезиян всеже сунуло бананан
Каким образом генерированный пароль будет лёгким для брута?
Брутом сносятся короткие пароли на ограниченном множестве символов. Остальные сносятся всяческими вариантами словарной атаки, разбавляемой перестановками, мусорными символами и прочими типичными модификациями (типа русского слова на английской раскладке).
Брутом сносятся короткие пароли на ограниченном множестве символов. Остальные сносятся всяческими вариантами словарной атаки, разбавляемой перестановками, мусорными символами и прочими типичными модификациями (типа русского слова на английской раскладке).
Рандом он такой рандом… Сколько там лет нужно обезъяно-лет нужно чтобы напечатать «Войну и мир»?
кстати, можно в шаблоны добавить fail2ban или что-то аналогичное.
Всегда использую пароль trewq, до сих пор так никто и не забрутил, ЧЯДНТ?
Забыл открыть 22ой порт на файрволе?
akme
666-й в рейтинге хабралюдей
Вы 666. Наверное, причина в этом.
666-й в рейтинге хабралюдей
Вы 666. Наверное, причина в этом.
В общежитии, до поры до времени не закрывал дверь в комнату, отходя на кухню на противоположной стороне на 10 минут. Кому нужны нехитрые пожитки студента — конспекты, да книги. Пока за эти 10 минут не вынесли все, включая сушившееся полотенце.
До поры до времени не блокировал экран, отходя от компьютера попить чаю. Пока кое-кто не залез в историю icq и не скопировал всю переписку с родственниками, все данные по работе и финансам, чтобы после развода подавать в суд по разным поводам, мотая нервы.
И т.д. и т.п.
До поры до времени не блокировал экран, отходя от компьютера попить чаю. Пока кое-кто не залез в историю icq и не скопировал всю переписку с родственниками, все данные по работе и финансам, чтобы после развода подавать в суд по разным поводам, мотая нервы.
И т.д. и т.п.
Всегда использую пароль trewq
ЧЯДНТ
Написал его здесь, очевидно же.
подскажите айпишник, а?
UFO just landed and posted this here
О, спасибо. Добавил в словарь.
А по-моему вы просто поленились сделать защиту от перебора поролей.
У вас, наверное, и Капча тоже применяется?
У вас, наверное, и Капча тоже применяется?
Нет у них никакой капчи — перебирай хоть тресни.
Я очень хочу увидеть ssh с каптчей.
Честное слово, хочу.
Честное слово, хочу.
Блокировать после n-й попытки. Не на совсем, а на m минут.
То есть, вы реально хотите, чтобы мы в ВАШУ виртуальную машину ходили с правами администратора и что-то там меняли помимо вашей воли?
Извините, но я бы сам сбежал первый с такого облака, где сервисная компания позволяла бы себе лазать во внутрь клиентских машин без спросу.
Извините, но я бы сам сбежал первый с такого облака, где сервисная компания позволяла бы себе лазать во внутрь клиентских машин без спросу.
Блокировка это не выход. Конкуренты специально бы брутили серваки, чтобы клиенты на смогли залогиниться.
Так?
Ну то, что капчи нет — это хорошо, её и не должно быть.
Опираясь на ваш комментарий, Капча — это такое же перекладывание с больной на здоровую голову.
Опираясь на ваш комментарий, Капча — это такое же перекладывание с больной на здоровую голову.
Простите, где именно мы должны делать каптчу? При логине по ssh? Речь идёт не про пароли к панели управления (они у нас всю жизнь были автогенерированные и без права изменения), а про пароли к пользовательским машинам. К тому паролю root'а, с которым идёт первый логин.
Если мы установим на клиентскую машину что-то типа fail2ban, то мы проблем огребём больше, чем пользы.
Если мы установим на клиентскую машину что-то типа fail2ban, то мы проблем огребём больше, чем пользы.
Ох лол, отличный пример, как администраторы облака решают свои собственные проблемы за счет пользователей!
Не смогли/не сумели/не захотели поставить защиту от брута, так давайте же объявим, что пользователи виноваты!
Подсказка автору: зайдите по адресу mail.google.com и введите 3-4 раза неправильный пароль. И о чудо!!! Вы увидите капчу!
Не устраивает капча? Можно блокировать запись на 5 минут после 10 неправильных попыток ввода пароля. Да много чего еще можно придумать, но не ограничивать пользователей (которые, наверняка, вам деньги платят) в выборе ИХ паролей.
Не смогли/не сумели/не захотели поставить защиту от брута, так давайте же объявим, что пользователи виноваты!
Подсказка автору: зайдите по адресу mail.google.com и введите 3-4 раза неправильный пароль. И о чудо!!! Вы увидите капчу!
Не устраивает капча? Можно блокировать запись на 5 минут после 10 неправильных попыток ввода пароля. Да много чего еще можно придумать, но не ограничивать пользователей (которые, наверняка, вам деньги платят) в выборе ИХ паролей.
Если у пользователя стоит словарный пароль — то велика вероятность, что этот пароль будет подобран на первых итерациях перебора, когда еще не включится механизм блокировки или дополнительный механизм аутентификации (капча/контрольный вопрос).
В идеале должен быть запрет простых паролей вместе с защитой от перебора.
В идеале должен быть запрет простых паролей вместе с защитой от перебора.
Да ладно, при блокировании на 10-й попытке никакой словарный пароль не подберется.
Все же знают, что если у пользователя стоит, то уже не до безопасности =))))
Каким образом мы можем блокировать логины на клиентской машине? Вы предполагаете, что мы будем вмешиваться в работу клиентской виртуальной машины и запрещать/разрешать подключения с каких-то ИП?
Извините, это строго противоречит политике работы облака, когда владелец виртуальной машины имеет полную над ней власть (а мы, соответственно, не лезем своими грязными ручками в её конфиги).
Извините, это строго противоречит политике работы облака, когда владелец виртуальной машины имеет полную над ней власть (а мы, соответственно, не лезем своими грязными ручками в её конфиги).
Каким образом мы можем блокировать логины на клиентской машине? Вы предполагаете, что мы будем вмешиваться в работу клиентской виртуальной машины и запрещать/разрешать подключения с каких-то ИП?
Извините, это строго противоречит политике работы облака, когда владелец виртуальной машины имеет полную над ней власть (а мы, соответственно, не лезем своими грязными ручками в её конфиги).
Точно также как вы устанавливаете ему случайный пароль при установке. Внести мааааленькое изменение в дефолтный конфиг:
/etc/security/limits.conf
Директива maxlogins, если я не ошибаюсь
maxlogins maximum number of logins for this user except for this with uid=0
Это лимит на количество сессий.
Если же вы предлагаете лочить аккаунт, который брутят, то это прямая дорога к дешёвому и простому DoS'у (чем винды страдают).
А банить конкретный IP по превышению числа попыток — это уже fail2ban, вещь, далеко не самая типичная для дефолтной конфигурации.
Включите мозги, перечитайте пост, перечитайте свой камент.
Т.е. в своей собственной личной индивидуальной моей (!) системе я не могу использовать какую-то команду по чей-то воле? Печально…
Кстати только что сменил пароль через passwd
Кстати только что сменил пароль через passwd
Не, автор имеет в виду, что нельзя менять при начальной настройке, а потом — можно, так как root-access
Так и не понял, при какой начальной настройке… Еще в декабре создавал машину — мне выдали пасс рута и всё.
В своей системе вы можете делать что хотите, в этом принципиальное различие облаков и VDS на базе Xen'а от openVZ и shared hosting.
не ваше это дело что там и как, вы бы ещё орфографию на пользовательских сайтах решили чинить
Надеюсь простят мне этот небольшой оффтоп. Это уже крик души.Никак не могу заставить свою благоверную сменить пароль с цифорок на цифробуковки :( полгода как твержу ей об этом. Пожалуй стоит показать ей эту статью.
Можно придумать сложный длинный пароль и сохранить его в браузере. А трояну всё равно какой пароль воровать.
Я вот свою благоверную никак не могу научить, чтобы когда выходит из машины на дорогу, смотрела назад: едет машина или нет. А тут пароли :) Даже не парюсь этим, благо самое ценное у нее там аккаунт в контакте.
Эту статью и менеджер паролей. В особенно запущенных случаях базу паролей хранить на зашифрованном диске в зашифрованном архиве и пароль вводить с помощью экранной клавиатуры. :)
А что мешает для проверки пароля, грубо говоря эмулировать брутфорс? То есть берёшь словарь из 108 самых простых паролей, которые будут проверять брутфорсеры и проверяешь по нему. 108 при проверке одного пароля в секунду — это 3-4 года непрерывного подбора, мне кажется обычные хакеры на это не пойдут.
Круто теперь ваши бедные клиенты, те самые что вбивают qwerty123, будут хранить ваши хитрые пароли на личной почте (естественно под паролем qwerty123, в письме от Селектел) или в папочке «мои документы» (в файле пароли.doc). Браво!!! Вы получаете -5 к безопасности и +10 к неудобству использования. Нельзя бороться с невежеством пользователей такими грубыми методами и тем более хвастаться этим.
Взлом личной почты или «угон» пароля при помощи трояна все-таки преимущественно (но далеко не всегда) — действия направленные на конкретного человека/компанию.
А сканирование диапазона ip'шников, нахождение ssh-демонов и попытки тупого перебора паролей — скорее «на удачу».
А сканирование диапазона ip'шников, нахождение ssh-демонов и попытки тупого перебора паролей — скорее «на удачу».
Пароли к машинам, задаваемые при установке, есть в описании машины.
Я лично ничего не сохраняю, просто когда мне нужно, я копипастю из панели управления.
PS И я не хвастаюсь. Это крик души.
Я лично ничего не сохраняю, просто когда мне нужно, я копипастю из панели управления.
PS И я не хвастаюсь. Это крик души.
цитирую «Пароли к машинам, задаваемые при установке, есть в описании машины»
Возможно у меня несколько расшатаны нервы, но я вздрагиваю и резко оглядываюсь когда вижу свой пароль не закрытый звездочками. А у вас мало того что случайный человек за спиной может узнать его, но и зная пароль от аккаунта я могу получить доступ ко всем серверам компании. Круто )). Но ведь вы же опытный человек, и если боитесь брутфорса, не парьте мозг своим клиентам, убирайте доступ по SSH с порта по умолчанию, логируйте попытки стучаться на него, и уведомляйте клиентов «бла бла бла была попытка взлом с IP xxx.xxx.xxx.xxx» и они сами будут менять пароли.
Возможно у меня несколько расшатаны нервы, но я вздрагиваю и резко оглядываюсь когда вижу свой пароль не закрытый звездочками. А у вас мало того что случайный человек за спиной может узнать его, но и зная пароль от аккаунта я могу получить доступ ко всем серверам компании. Круто )). Но ведь вы же опытный человек, и если боитесь брутфорса, не парьте мозг своим клиентам, убирайте доступ по SSH с порта по умолчанию, логируйте попытки стучаться на него, и уведомляйте клиентов «бла бла бла была попытка взлом с IP xxx.xxx.xxx.xxx» и они сами будут менять пароли.
Поле называется «Пароль при установке: XXXXX». Это пароль у машины после установки. Дальше вы можете настраивать его так, как вам удобно — менять пароль (в панели это не сохранится и не отобразится), удалять ssh и заменять его на любой другой протокол удалённого администрирования.
Повторю, эта мера делается не для клиентов, а для статистического снижения числа инцидентов, связанных с abuse, вопросами о внезапном повышении потребления ресурсов машины и т.д.
Повторю, эта мера делается не для клиентов, а для статистического снижения числа инцидентов, связанных с abuse, вопросами о внезапном повышении потребления ресурсов машины и т.д.
Задумываешься (и то не всегда), когда обнаруживаешь, чт отвой аккаунт того самомго!)))
И то не всегда помогает.
И то не всегда помогает.
А у меня на все некритические ресурсы 1 пароль (111111), так что ламайте мне не жаль. А на важные для меня, большой и сложной.
В принципе, можно и тот же 111111 зашифровать, а-ля «11ll(1)| чтобы 32 символа или сколько там предложат в голове не держать. А доступ к серверу иногда нужен критически и всё-таки, думаю, нужно дать пользователю право выбора. „Мой ботинок, куда хочу, туда и вешаю“
Когда вам брутфорнснут вашу виртуалку и понашлют спама, вы будете удивляться, почему вашу виртуальную машину заблокировали и причём тут рассылка спама.
А ещё можно нарваться на то, что вычислят адрес машины и придёт к вам отдел К и повесит на вас дело за рассылку спама. И попробуйте докажите что вы не голубой трамвай им.
Всё время удивляюсь беспечности многих тут, хотя ресурс вроде профильный. А у меня все рабочие компы под truecrypt и ебу каждого, кто уходя на обед забывает заблокировать десктоп — нефиг оставлять доступ к скайпу/почте, а иногда ещё и и-нет банк забудут закрыть.
А ещё можно нарваться на то, что вычислят адрес машины и придёт к вам отдел К и повесит на вас дело за рассылку спама. И попробуйте докажите что вы не голубой трамвай им.
Всё время удивляюсь беспечности многих тут, хотя ресурс вроде профильный. А у меня все рабочие компы под truecrypt и ебу каждого, кто уходя на обед забывает заблокировать десктоп — нефиг оставлять доступ к скайпу/почте, а иногда ещё и и-нет банк забудут закрыть.
Вы поступили очень глупо. Все ваши супербезопасные автоматически сгенерированные пароли пользователи будут держать на бумажке, или того лучше — в простом txt файле на рабочем столе. Вы серьезно усилили их безопасность, ага.
Перечитайте еще раз статью, может тогда поймете в чем вы не правы
Мы поступили очень умно, потому что наши супербезопасные автоматически сгенерированные пароли пользователь может увидеть в панели управления в свойствах виртуальной машины. И выписывать его на бумажку нет ни малейшей необходимости, т.к. копипейст удобнее.
И да, мы усилили их безопасность, так как машин с простыми паролями станет меньше.
И да, мы усилили их безопасность, так как машин с простыми паролями станет меньше.
Чем я отличаюсь от тех, кто тут жалуется? Не знаю, однако первый пароль, который я получил при установке первой машины Селектела я не менял, т.к. было лень. Я его выучил, да — разный регистр, цифры, буквы, но выучил! Не знаю как, само случилось. Теперь я сменил уже 3 вирт. машины и на всех теперь ставлю тот пароль, что мне выдал селектел на первой машине. Думаю, раз я его выучил, надо использовать на остальных ресурсах, ибо сейчас у меня везде одинаковый (и на хабре), без цифр, все буквы в нижнем регистре. Да ещё и английское слово…
Это гораздо безопаснее, чем просто везде ставить простые пароли. Да, может какой-то троян уведет эти пароли, но что с ним будет делать злоумышеленник? Только если конкретно атака против вас самих. А вот при простом пароле ваш пароль смогут увести «за компанию» и потом сменить.
Так их!
Спасибо
есть ещё сервисы которые просто не позволяют набрать сложный пароль. пример mail.ru… у меня была проблема с символами !@# когда я там ставил пароль.
есть ещё сервисы которые просто не позволяют набрать сложный пароль. пример mail.ru… у меня была проблема с символами !@# когда я там ставил пароль.
«Пароль 323345 — это просто насмешка какая-то.» — а как вы узнали? Брутили хеши или у вас плеинтекстом хранятся пароли?
Плейнтекстом, разумеется. Когда машина создаётся или переустанавливается, нам его откуда-то взять-то нужно. Плюс, как мы пользователю пароль покажем, если у нас только хеш будет?
Хм, а так получиться?
[Пользователь не указал пароль] -> Сгенерировать -> Показать/прислать пользователю -> Записать хеш в базу
[Пользователь указал пароль] -> Записать хеш в базу.
Во втором случае пользователю пароль присылать смысла нет, так как он его знает.
[Пользователь не указал пароль] -> Сгенерировать -> Показать/прислать пользователю -> Записать хеш в базу
[Пользователь указал пароль] -> Записать хеш в базу.
Во втором случае пользователю пароль присылать смысла нет, так как он его знает.
А если не дай бог у вас что-то произойдет? Тогда не только вы, но и все ваши клиенты будут скомпрометированы.
Может кто-то из сотрудников имеющий доступ к этим паролям начнет их раздавать? Говорить что все честные и идеальные не стоит. Мало ли что в жизни происходит. Лучше не провоцировать на такие нарушения.
Доступ к рутовому паролю восстанавливать также как и на любой линукс системе — через прямой «доступ» к телу.
Может кто-то из сотрудников имеющий доступ к этим паролям начнет их раздавать? Говорить что все честные и идеальные не стоит. Мало ли что в жизни происходит. Лучше не провоцировать на такие нарушения.
Доступ к рутовому паролю восстанавливать также как и на любой линукс системе — через прямой «доступ» к телу.
Извините, вы неправильно понимаете. Речь идёт не о хранении рутовых паролей пользователей, речь о хранении начальных паролей после установки машины.
Если человек не хочет его менять — ок, это его право. Ровно так же он может его хранить в поле «описание машины», или даже в названии.
Но у человека есть безусловное право заменить наш пароль по-умолчанию на свой собственный.
Вот, например, вы же не жалуетесь, что в руководстве по маршрутизатору пароль по-умолчанию плейн текстом? И подразумевается, что вы его меняете.
Если человек не хочет его менять — ок, это его право. Ровно так же он может его хранить в поле «описание машины», или даже в названии.
Но у человека есть безусловное право заменить наш пароль по-умолчанию на свой собственный.
Вот, например, вы же не жалуетесь, что в руководстве по маршрутизатору пароль по-умолчанию плейн текстом? И подразумевается, что вы его меняете.
Это из-за не совсем понятного описания процедуры и вашего ответа на habrahabr.ru/company/selectel/blog/112794/#comment_3640798. Правильно я понимаю что пользователь вводит упрощенный пароль до установки машины? Все пароли которые он вводит потом вы не знаете?
В этом случае нужно как я отметил в habrahabr.ru/company/selectel/blog/112794/#comment_3640920 просто анализировать что он вводит и предлагать сделать пароль сложнее, иначе у него могут быть проблемы и перечислить их ему
В этом случае нужно как я отметил в habrahabr.ru/company/selectel/blog/112794/#comment_3640920 просто анализировать что он вводит и предлагать сделать пароль сложнее, иначе у него могут быть проблемы и перечислить их ему
Именно. При установке задаётся начальный пароль рута. Дальше это значение хранится у нас в базе и показывается пользователю. Помимо этого, это же значение используется при переустановке сервера.
Никакие пароли пользователя, которые он задаёт/меняет/создаёт нам не известны и в панели, по понятным причинам, не отображаются.
Никакие пароли пользователя, которые он задаёт/меняет/создаёт нам не известны и в панели, по понятным причинам, не отображаются.
Но — это всё полумеры.Угу. В том числе и «Отмена пользовательских паролей».
Чтобы обезопаситься от использования своих ресурсов хакерами необходимы непрерывные и комплексные меры безопасности, включающие помимо прочего регулярное обновление всего софта, использование патчей ядра вроде PaX и GrSecurity, желателен вход по ssh только через ключи, отказ от FTP в пользу SCP/FTPS, и очень, очень многое другое.
Реализовать всё это может только владелец сервера, и только если он знает как и считает это необходимым. Врядли люди выбирающие упомянутые Вами пароли могут и хотят заниматься всем этим… скорее они найдут в сети коротенький FAQ на тему «как поменять дурацкий пароль на что-то по-проще с помощью passwd».
На мой взгляд вам не стоит беспокоиться о том, что вы не можете контролировать. Примите как факт то, что многие ваши пользователи не будут думать о безопасности своих серверов, и они будут взломаны, и готовьтесь иметь дело с последствиями. К примеру, вы можете определять нетипичную сетевую активность вроде рассылок спама и уведомлять владельца сервера/блокировать рассылку, etc.
Вы немного неправильно понимаете нашу цель. Наша задача не обезопаситься от использования _наших_ ресурсов хакерами (это отдельная задача и решается она другими методами), а обезопаситься от использования _клиентских_ ресурсов. Мы не можем руководить пользователями в их настройке серверов, но мы можем по-крайней мере избегать опасных дефолтов — это снижает количество неприятных инцидентов, которые заставляют разбирать abuse'ы, писать тикеты клиентам, и вообще, делать какие-то дополнительные телодвижения.
С нашей точки зрения это исключительно снижение объёма работы, а не обеспечение «непробиваемой защиты». Инциденты будут, но их будет меньше — и то хорошо.
С нашей точки зрения это исключительно снижение объёма работы, а не обеспечение «непробиваемой защиты». Инциденты будут, но их будет меньше — и то хорошо.
Сделайте так чтобы клиенты меняли пароли через вашу панель управления. Настоятельно рекомендуйте везде им именно такой путь смены паролей. В процессе смены пароля вы сможете проконтролировать его «сложность» и принять предложение клиента или настоятельно рекомендовать ему сделать другой пароль, возможно даже сгенерировать новый сложный пароль чтобы он не мучился.
Понятно, что запретить напрямую через консоль менять пароли не получится. Но если клиент умеет менять пароли через консоль, то наверняка он уже в курсе что пароль должен быть достаточно сложный.
Понятно, что запретить напрямую через консоль менять пароли не получится. Но если клиент умеет менять пароли через консоль, то наверняка он уже в курсе что пароль должен быть достаточно сложный.
Использую pwgen 10 10 для генерации более менее звучных и запоминаемых паролей.
Специально для вас сделана такая штука для проверки пользовательских паролей, рекомендую: www.openwall.com/passwdqc/
Там же есть и pam модуль. Жёсткость проверки (какой набор символов, длина, регистр) настраиваем.
Там же есть и pam модуль. Жёсткость проверки (какой набор символов, длина, регистр) настраиваем.
> Пароль 323345 — это просто насмешка какая-то.
А отправлять пароль на почту в открытом виде — это не насмешка?
А отправлять пароль на почту в открытом виде — это не насмешка?
етсь хороший вариант ставить fail2ban по умолчанию. узбавляет от брутофорса.
Сервера предоставляются в минимальной конфигурации
впн с которого можно коннектится?
а вообще сделайте вариант с указаниями id_rsa.pub сразу. вам столько админов спасибо скажут )
а вообще сделайте вариант с указаниями id_rsa.pub сразу. вам столько админов спасибо скажут )
Попробую пролоббировать это решение. Главный вопрос, что делать, если кто-то в форму с ключиком что-нибудь аплоаднет типа iso'шки.
andrew@fenrir:~$ cat .ssh/id_rsa.pub | wc -c
395
395 символов. textarea хватит. Еще проверять на валидность (ssh-rsa <дофига base64> user@host.com)
395
395 символов. textarea хватит. Еще проверять на валидность (ssh-rsa <дофига base64> user@host.com)
еще больше скажут н@х#я вы мне это поставили??!11
Я вообще Root Не юзаю.
У root пароль *
А еще у меня есть пользователь wheel которому можно использовать sudo.
Мало пароль узнать, так надо еще и логин найти :)
У root пароль *
А еще у меня есть пользователь wheel которому можно использовать sudo.
Мало пароль узнать, так надо еще и логин найти :)
Это все круто, но, как вариант можно попробовать сделать использование публичного ключа удобным. Иногда мне кажется, что все проблемы пользователей растут из неудачных интерфейсов.
Пьяный официант изнемогает повариху.
Привет от ViPNet [Генератор паролей].
Привет от ViPNet [Генератор паролей].
Два дня назад запустил у selectel облачную машину на CentOS, зная только команду ls и гугл.
Раздел про безопасность в FAQ мне бы сильно помог, т.к. рутовый пароль подбирали уже через 3 часа после привязки к домену.
Раздел про безопасность в FAQ мне бы сильно помог, т.к. рутовый пароль подбирали уже через 3 часа после привязки к домену.
Вы же понимаете, что хотя бы базовые руководства по безопасности, за которые не стыдно будет, займут сотни килобайт. Да, разумеется, было бы интересно почитать. Но ведь это кто-то ещё и написать должен?
Кроме того, даже если оно будет, вы готовы будете читать 300+ кб текста? Нет, будет «многабукф».
А ссылка на официальное руководство по центосу (в котором, кстати, раздел про безопасность есть) есть из описания шаблона виртуальной машины.
Впрочем, я понимаю, что хочется кратко, быстро, ясно и понятно. Ок, иду навстречу.
Самый краткий FAQ по безопасности
Q: Как мне быстро и просто обеспечить максимальный уровень защищённости?
A: Не делайте глупостей.
Кроме того, даже если оно будет, вы готовы будете читать 300+ кб текста? Нет, будет «многабукф».
А ссылка на официальное руководство по центосу (в котором, кстати, раздел про безопасность есть) есть из описания шаблона виртуальной машины.
Впрочем, я понимаю, что хочется кратко, быстро, ясно и понятно. Ок, иду навстречу.
Самый краткий FAQ по безопасности
Q: Как мне быстро и просто обеспечить максимальный уровень защищённости?
A: Не делайте глупостей.
Я не предлагал писать всеобъемлющий киллер-мануал по безопасности (такой вообще есть?).
Новичкам очень поможет текст размером с комментарий на хабре: «Что мне сделать со своей виртуальной машиной — первые 5 шагов». First steps guide для услуги заметно сокращает отток клиентов.
Новичкам очень поможет текст размером с комментарий на хабре: «Что мне сделать со своей виртуальной машиной — первые 5 шагов». First steps guide для услуги заметно сокращает отток клиентов.
Мне вам повторить ответ выше? Куда уж короче. Всё остальное будет полно нюансов, недоговорённостей и прочей поверхностной халтуры.
Кстати, если клиент не будет ничего делать, то машина будет вполне себе безопасной — наружу только ssh с нормальным паролем.
Кстати, если клиент не будет ничего делать, то машина будет вполне себе безопасной — наружу только ssh с нормальным паролем.
У большинства ИТ-специалистов всегда есть выбор — вводить технические ограничения или общаться с пользователями. К сожалению, с людьми общаться готовы не все.
Подобные ФАКи можно найти в инете, не вижу смысла в их репосте на сайте. С точки зрения администрирования облачная машина ничем не отличается от обычного железного сервера.
прошу прощения за вопрос не по теме: планируете ли предлагать клиентам isp manager?
очень не хватает; боюсь, придется из-за этой мелочи уйти в clodo
очень не хватает; боюсь, придется из-за этой мелочи уйти в clodo
Вы хотите, чтобы мы его ставили вместо вас? А почему только ISPManager, а не сразу же nginx, apache, mysql, php, форумный движок и парочку CMS?
Безусловно, мы можем это делать. Но это будет совсем другой сервис. Наша задача — выдать клиенту машину в облаке. А дальше он сможет с ней делать уже что угодно.
Безусловно, мы можем это делать. Но это будет совсем другой сервис. Наша задача — выдать клиенту машину в облаке. А дальше он сможет с ней делать уже что угодно.
чтобы не быть голословным, я буду ссылаться на свой опыт — fastvps ставит на dedicated, clodo ставит на облако
можно ставить по запросу, например.
можно оставить установку пользователю, предложив при этом саму лицензию на льготных условиях в пользование
а покупать у поставщика за 170 евро не каждый решится :)
можно ставить по запросу, например.
можно оставить установку пользователю, предложив при этом саму лицензию на льготных условиях в пользование
а покупать у поставщика за 170 евро не каждый решится :)
Sign up to leave a comment.
Отмена пользовательских паролей