Из заметки же ясно, что DH согласование соединения влияет на идентификатор сессии и именно это мешало злоумышленнику иметь неограниченное влияние на соединение. Однако злоумышленник всё ещё может получать данные от клиента и их утечка бОльшая проблема, чем доступ на новый сервер, на котором возможно ничего и нет полезного.
Вопрос в MitM во время первого подключения к серверу, а не использование на стороне клиента метода аутентификации через пароль или ключ (или сертификат).
Вы написали про то что мы можем перейти на ключи (что нормальные люди уже сделали, в отличии от вас наверное), но это не отменяет MitM на пути к серверу при первоначальной установке соединения (в современных системах часто используются облачное создание виртуалок буквально двумя кликами).
При первом подключении по ssh к серверу, сервер передаёт отпечаток своего ключа, и потом последующие подключения выполняют сравнение этого отпечатка подтверждает факт легитимности соединения. В том случае если между вами и свежеустановленным сервером будет злоумышленник, то он может вам передать свой отпечаток и вы не будете знать об этой подмене. Независимо от того используете вы пароль или ключ, соединение будет скомпрометировано. Вам стоит освежить знание о механизмах работы этого популярного типа соединения, для архитектора важно знать больше о безопасности.
По опыту эксплуатации пробовал sshfp и CA для ssh. Увы проблема подтверждения отпечатка сервера для виндовых клиентов с putty не решается этими технологиями. Если кто-то знает как это решить буду очень признателен.
Я бы хотел чтобы кейсы какие нибудь были описаны. Настройка почтовых клиентов с картинками для работы с общими папками. Возможность настройки от админа через гуи и консоль. Рассказ о том на базе чего это всё работает (imap сервер dovecot, ссылки на стандарты типа rfc4314). Примеры автоматизации общего доступа к папкам через AD\LDAP. Примеры примитивной работы с письмами в общих папках на bash\python\etc.
Как я и говорил, общие imap папки, но я говорил про статью, чтобы мог дать её коллегам, вместо того чтобы самостоятельно делать эту задачу. Показать кейс от компании руководству.
iperf говорит вы не правы. Я пожалуй буду верить тем показателям, которые цифрами подтверждаются на практике. Сейчас мне вполне хватает для дома 1,5 гбит полудуплексной беспроводной связи. В любом случае ширина каналов в интернет, меньше чем мой беспроводной канал. А роутер увы не наделён сата\м2\pcie интерфейсами. По usb3 я с 1tb sata3 SSD диска так же не смог выжать больше 40 мбайт\с. smb,nfs,ssh протоколы потребляют много ресурсов, а сверху ещё торренты и вайфай, это для двухядерного арм проца zyxel armor z2 слишком. Буду пробовать xiaomi router hd pro, посмотрим какой результат будет там, от х86 архитектуры для домашнего маршрутизатора я отказался, от отдельного NAS'а тоже, от малинок и других одноплатников в качестве маршрутизатора тоже.
Часто встречаю случай когда надо сделать адрес электронной почты на которую будут приходить письма типа support@example.ru или sysadmins@example.ru и есть команда из нескольких человек, которая должна читать эти письма и видеть историю. Если мы сделаем группу или рассылку и включим в неё нужных нам пользователей, то новый пользователь не получит историю. Напишите пожалуйста ваше видение как работать с общими imap папками через веб, аутлук и громоптицу. Или если вы знаете альтернативный подход к решению задачи, расскажите сообществу его.
Моё почтение, уважаемый. Это абсолютное сумасшествие, задротство и всё как я люблю и практикую. Жаль, но в случае bus factor восстановить такую СХД мне (как и большинству других специалистов) потребуется больше времени, чем примитивы от эникеев или аппаратную СХД.
Так что компания которая экономит на оборудовании, должна компенсировать такие крутые наработки уймой времени на разработку и тотальное документирование, ну и обязательно квалифицированные специалистом, а не эникеи.
Podman позволяет одну классную вещь, которую докер не может:
Поставка программ вместо привычных нам пакетов сразу в контейнере и со всеми зависимостями и без рутовых прав и с интеграцией с systemd из коробки.
Ну использование подов удобней, чем отдельные композы для разрабов и поды для контуров.
Я перестал пользоваться докером и убрал на своём ноуте дырку до root'а. Осталось только sudo для установки и обновления ПО, которое не может быть в OCI контейнере или flatpak\snap.
Не из коробки, надо отдельно ставить, но перевести парк с другими версиями винды в крупных компаниях не получится так просто.
Вы написали про то что мы можем перейти на ключи (что нормальные люди уже сделали, в отличии от вас наверное), но это не отменяет MitM на пути к серверу при первоначальной установке соединения (в современных системах часто используются облачное создание виртуалок буквально двумя кликами).
При первом подключении по ssh к серверу, сервер передаёт отпечаток своего ключа, и потом последующие подключения выполняют сравнение этого отпечатка подтверждает факт легитимности соединения. В том случае если между вами и свежеустановленным сервером будет злоумышленник, то он может вам передать свой отпечаток и вы не будете знать об этой подмене. Независимо от того используете вы пароль или ключ, соединение будет скомпрометировано. Вам стоит освежить знание о механизмах работы этого популярного типа соединения, для архитектора важно знать больше о безопасности.
Прочтите пожалуйста ещё раз статью, вы абсолютно не поняли ни её суть, ни суть моего комментария.
Как я и говорил, общие imap папки, но я говорил про статью, чтобы мог дать её коллегам, вместо того чтобы самостоятельно делать эту задачу. Показать кейс от компании руководству.
Так что компания которая экономит на оборудовании, должна компенсировать такие крутые наработки уймой времени на разработку и тотальное документирование, ну и обязательно квалифицированные специалистом, а не эникеи.
Поставка программ вместо привычных нам пакетов сразу в контейнере и со всеми зависимостями и без рутовых прав и с интеграцией с systemd из коробки.
Ну использование подов удобней, чем отдельные композы для разрабов и поды для контуров.
Я перестал пользоваться докером и убрал на своём ноуте дырку до root'а. Осталось только sudo для установки и обновления ПО, которое не может быть в OCI контейнере или flatpak\snap.
Хороший тест, 11 из 13. Хотя некоторые вопросы имеют больше 1 правильного ответа.
Я участвовал)
Вот вроде и приятно, а вроде и тараканами назвали)