Функциональное тестирование конечно проводилось после каждых изменений, но обычно косяки вылезали сразу при сборке приложения, если оно не могло работать с какими-то версиями модулей. А так - тесты никто не отменял. Не стал об этом здесь писать - это очевидные вещи по моему.
Напомню основную цель - устранение уязвимостей. Улучшать не планировалось.
Цель достигнута, пентест пройден, бизнес заказчик доволен, мы закрыли задачу. Алилуя)
Ну мы же не меняли код самого проекта. Меняли версии модулей npm, используемые wikijs. Не усматриваю тут никаких противоречий. Для аналогии возьмем к примеру скрипт на питоне и запустим его на python 3.7, потом проапдейтим питон до 3.8 и запустим тот же скрипт. Сам скрипт при этом же не изменился, ведь так? Вот если только считать paсkage.json частью исходного кода проекта, то да, выходит, что я сам себе противоречу.)
Да не должны сетевые железки, как и сервера настраиваться людьми вообще!
Мы же не в каменном веке живем. Автоматизацию для этого придумали. Пришла новая железка, поставили, применили нужную роль и все. Да и паролей вообще не должно быть нигде от слова совсем — только ключи. Пароль только на локаль с физическим доступом.
а кто конкретно из них заставляет оставлять пароли admin:admin?
С этим даже и не собирался спорить. Это ежу понятно. Неудачный пример привел.
Я имел ввиду «временные дырки», которые проковыриваются по команде сверху, а потом про них забывают/забивают и не документируют никак.
Пробовали когда-нибудь устроиться работать по IT специальности в госучреждение или то что является его наследием (энергетика, ЖКХ, железные дороги и тп)? Там зарплаты в два раза ниже рынка.
Я работаю в госе. ЗП в полтора раза выше чем на предыдущем месте в коммерции.
Тут не совсем в этом дело. Я пока не встречал ни одной крупной или не оч крупной организации, в которой все было бы хорошо в плане ИБ. Могу только сказать, что данный вопрос «на коленке» не решается. Нужна система во всем — система и политика паролей/ключей, организации доступов, система предотвращения вторжений, система логирования действий админов и пр.пользователей, система алертинга, постоянное сканирование дыр и уязвимостей и т.д. Фаервол на выход вообще никто не настраивает)) Я встречал специалистов, которые все это умеют и знают как организовать, но сталкиваются с хотелками архитекторов, разрабов, топов, как тут уже упомянули и система рушится.
Вообще, самые большие дыры — в головах. Грустно все это.
Как то давно, когда была такая WiMAX сеть Starnet рядом с Yota, я нашел несколько уязвимостей в ней и в их устройствах: модемах, роутерах, впрочем как и в йотовских и написал подробное письмо в Starnet со всеми техническими деталями — никак не отреагировали. К слову сказать — не задавался целью, случайно мимоходом обнаружил. Писать статью на хабре даже мысли не было. Не знаю, может быть мне тоже стоило тогда хайпануть))).
Автору могу только пожелать удачи, она ему пригодится.
Надо бы еще сказать, что согласно документации, скрипты должны помещаться в эту папку
/usr/libexec/keepalived
И не обязательно запускать от рута. В документации описан пользователь keepalived_script.
Это важно, если использовать selinux.
Я обычно использую инструментарий iproute — ip r get
Example D.25. Testing routing tables with ip route get
[root@tristan]# ip -s route get 127.0.0.1/32
ip -s route get 127.0.0.1/32
local 127.0.0.1 dev lo src 127.0.0.1
cache <local> users 1 used 1 mtu 16436 advmss 16396
[root@tristan]# ip -s route get 127.0.0.1/32
local 127.0.0.1 dev lo src 127.0.0.1
cache <local> users 1 used 2 mtu 16436 advmss 16396
Я лишь изложил свою точку зрения. На счет винды не убедили).
VMware (речь про 5.1) бесит своим тупым Win клиентом, который к вопросу многое не может.
Приходится лезть в консоль. Пришлось изучать еще один Cli. Внутрянку linux'овую практически всю порезали, осталось пожалуй только ядро. В 6-ке вроде как сделали нормальный web интерфейс.
Отвечаю по порядку.
Преимущества
— бесплатность (убиваю не лицензионное ПО в компании)
— оптимизация (намного меньше нужно физических ресурсов)
— время рестарта (при обслуживании, апгрейде, обновлениях и т.д.) VM с ОС linux — 45 сек.
— более стабильная работа 24/7 без перезагрузок
— не ограниченные возможности unix shell для автоматизации серверных процессов
Сервер печати на Win2008 стоял отдельный на виртуалке, но в какой то момент поломался.
У винды есть «точка не возврата»)). Роль принт-сервера на PDC — вообще не вариант. Мухи отдельно, котлеты отдельно.) Привык следовать принципам обеспечения бесперебойной работы на основе максимальной виртуализации. Если одна виртуалка слетела, то другая работает. Я думаю у домен контроллера забрать DHCP и DNS на отдельную VM, а потом перенести PDC с Win2008 на linux.
Из винды оставлю только терминальный сервер.
Структура
Серверная железка, как сейчас принято говорить «сервер высокой доступности» — кластер из нескольких HP Proliant с Vmware на борту. Vmware тоже вызывает вопросы. Смотрю в сторону XEN и KVM.
Но все это сугубо мое субъективное мнение. Всем добра! Холивар не хочу разжигать на тему Win и linux.
Функциональное тестирование конечно проводилось после каждых изменений, но обычно косяки вылезали сразу при сборке приложения, если оно не могло работать с какими-то версиями модулей. А так - тесты никто не отменял. Не стал об этом здесь писать - это очевидные вещи по моему.
Напомню основную цель - устранение уязвимостей. Улучшать не планировалось.
Цель достигнута, пентест пройден, бизнес заказчик доволен, мы закрыли задачу. Алилуя)
Ну мы же не меняли код самого проекта. Меняли версии модулей npm, используемые wikijs. Не усматриваю тут никаких противоречий. Для аналогии возьмем к примеру скрипт на питоне и запустим его на python 3.7, потом проапдейтим питон до 3.8 и запустим тот же скрипт. Сам скрипт при этом же не изменился, ведь так? Вот если только считать paсkage.json частью исходного кода проекта, то да, выходит, что я сам себе противоречу.)
Мы же не в каменном веке живем. Автоматизацию для этого придумали. Пришла новая железка, поставили, применили нужную роль и все. Да и паролей вообще не должно быть нигде от слова совсем — только ключи. Пароль только на локаль с физическим доступом.
С этим даже и не собирался спорить. Это ежу понятно. Неудачный пример привел.
Я имел ввиду «временные дырки», которые проковыриваются по команде сверху, а потом про них забывают/забивают и не документируют никак.
Я работаю в госе. ЗП в полтора раза выше чем на предыдущем месте в коммерции.
Тут не совсем в этом дело. Я пока не встречал ни одной крупной или не оч крупной организации, в которой все было бы хорошо в плане ИБ. Могу только сказать, что данный вопрос «на коленке» не решается. Нужна система во всем — система и политика паролей/ключей, организации доступов, система предотвращения вторжений, система логирования действий админов и пр.пользователей, система алертинга, постоянное сканирование дыр и уязвимостей и т.д. Фаервол на выход вообще никто не настраивает)) Я встречал специалистов, которые все это умеют и знают как организовать, но сталкиваются с хотелками архитекторов, разрабов, топов, как тут уже упомянули и система рушится.
Вообще, самые большие дыры — в головах. Грустно все это.
Автору могу только пожелать удачи, она ему пригодится.
rule-eth0
from 10.2.1.2 table table1
Точно?
Ну и в моем понимании, так не должен работать интернет.
Надо бы еще сказать, что согласно документации, скрипты должны помещаться в эту папку
/usr/libexec/keepalived
И не обязательно запускать от рута. В документации описан пользователь keepalived_script.
Это важно, если использовать selinux.
Я обычно использую инструментарий iproute — ip r get
Потому что надо еще так.
Коллеги привет.
На счет статической маршрутизации, можно использовать обычный формат "IP Command Arguments Format" — пруф линк
route-eth0 "курильщика" это ни что иное, как "network/netmask directive format" — пруф линк
Я только один вижу, что один маршрут лишний?
Вот это попадет в таблицу main и не нужно.
VMware (речь про 5.1) бесит своим тупым Win клиентом, который к вопросу многое не может.
Приходится лезть в консоль. Пришлось изучать еще один Cli. Внутрянку linux'овую практически всю порезали, осталось пожалуй только ядро. В 6-ке вроде как сделали нормальный web интерфейс.
Преимущества
— бесплатность (убиваю не лицензионное ПО в компании)
— оптимизация (намного меньше нужно физических ресурсов)
— время рестарта (при обслуживании, апгрейде, обновлениях и т.д.) VM с ОС linux — 45 сек.
— более стабильная работа 24/7 без перезагрузок
— не ограниченные возможности unix shell для автоматизации серверных процессов
Сервер печати на Win2008 стоял отдельный на виртуалке, но в какой то момент поломался.
У винды есть «точка не возврата»)). Роль принт-сервера на PDC — вообще не вариант. Мухи отдельно, котлеты отдельно.) Привык следовать принципам обеспечения бесперебойной работы на основе максимальной виртуализации. Если одна виртуалка слетела, то другая работает. Я думаю у домен контроллера забрать DHCP и DNS на отдельную VM, а потом перенести PDC с Win2008 на linux.
Из винды оставлю только терминальный сервер.
Структура
Серверная железка, как сейчас принято говорить «сервер высокой доступности» — кластер из нескольких HP Proliant с Vmware на борту. Vmware тоже вызывает вопросы. Смотрю в сторону XEN и KVM.
Но все это сугубо мое субъективное мнение. Всем добра! Холивар не хочу разжигать на тему Win и linux.
Остается лишь убедить руководство.