VPN у Вас не в изолированную сеть, а только в отдельный интерфейс на Вашем Radius сервере. Светить в этот интерфейс ничем кроме радиуса не надо. Получается, что даже если сервера аутентификации будут скомпрометированы ничего в Вашей сети атакующий кроме радиуса и не увидит.
"GUC параметр reserved_connections — позволяет зарезервировать слоты подключения для пользователей, не являющихся superuser ами — Фёдор сказал, что этого нет"
Про автомобилестроение 10 лет назад тоже говорили, что пошлины двинут наше машиностроение на небывалую высоту. Результата отрицательный. Российских качественных автомобилей нет, иностранные стали иметь высокий ценник. В итоге страдают граждане. Здесь аналогично, все затраты лягут на потребителя.
Начинать надо с прав, а не с ответственности. Какими правами наделили данных ответственных по своим областям ? Нет прав - нет ответственности. Скорее всего прав никаких нет, кроме консультаций сотрудников минцифры по своим предметным областям.
Приведу простой пример. Есть пункт ипотека, зайдя в который пользователь ожидает увидеть свои платежи по ипотеке (как поступление денег с других счетов, так и списание средств банком), логично как по мне.
Заходим в данный пункт и что же мы видим, платежей нет, а куда же они спрятались? Они спрятались в «Карты и счета»- «текущий счет в рублях»
В том же пункте присутствует плюсовое поступление, откуда оно понять не возможно, а это возврат процентов по опции «заемщик» догадаться об этом я видимо тоже эмпирическим путем.
И такое в каждом пункте. Был интерфейс ужасный и рабочий, стал просто ужасный. Оптимизировали — спасибо.
Еще раз по слогам. Это инструмент монтажника для облегчения жизни монтажнику и инженеру.
К мониторингу не имеет отношения от слова совсем.
Привожу
Пример 1: приехал монтажник на узел. Видит висит патч. Хуяк замкнул пару и посмотрел в интерфейсе в какой порт она воткнута, состояние этого кабеля и его длину.
Пример 2: Приехал на вызов в 200 квартиру, посмотрел descr порта на коммутаторе, длину кабеля. Увидел замыкание на 2 паре на 5 метров короче чем на первой, приходишь в квартиру и точно собачка кабель погрызла.
Сорцы то где? Или Вы писали под ТЗ заказчика и это теперь его собственность?
По подходу к людям чувствуется дoм.xx :) Отработал там год и покинул компанию по тем же причинам — жутко низкая ЗП у инженеров по региону, автоматизация никому нах. не сдалась кроме инженеров на местах которые пышут как папы Карло.
Все белые ребята традиционной ориентации в rpm based дистрибутивах собирают rpm пакеты, предварительно написав spec файл. В чем проблема то использовать rpmbuild, mock или любую другую билд систему?
Что только люди не придумают, лишь бы балансировку по BGP не делать.
X серверов, X сессий, тут тебе и балансировка и отказоустойчивость и масштабирование.
Что-то не увидел нигде увеличения conntrack таблицы или вообще отключения ее.
У Вас любой пакет в conntrack iptables поступает, и вполне очевидно при атаке эта таблица быстро исчерпается. Соответственно атака DDOS будет успешной.
Также нет информации сколько реально трафика ушло с интерфейсов и сколько пришло.
Покажите данные сколько трафика уходило, сколько пришло в серсвис. Где данные по запросам в секунду на L7 сервисе. Какое ПО использовалось.
VPN у Вас не в изолированную сеть, а только в отдельный интерфейс на Вашем Radius сервере. Светить в этот интерфейс ничем кроме радиуса не надо. Получается, что даже если сервера аутентификации будут скомпрометированы ничего в Вашей сети атакующий кроме радиуса и не увидит.
Прочитайте статью внимательней. Чтобы Вам было легче, я даже абзац привел.
reserved_connections и superuser_reserved_connections в ванильном PostgreSQL есть.
"GUC параметр reserved_connections — позволяет зарезервировать слоты подключения для пользователей, не являющихся superuser ами — Фёдор сказал, что этого нет"
Кто такой Федор?
https://commitfest.postgresql.org/26/2071/ Скорее всего.
По факту решаются описанные в начале статьи проблемы только с ядром системы.
Про автомобилестроение 10 лет назад тоже говорили, что пошлины двинут наше машиностроение на небывалую высоту. Результата отрицательный. Российских качественных автомобилей нет, иностранные стали иметь высокий ценник. В итоге страдают граждане. Здесь аналогично, все затраты лягут на потребителя.
Количество коммитов у кого ?
Начинать надо с прав, а не с ответственности. Какими правами наделили данных ответственных по своим областям ? Нет прав - нет ответственности. Скорее всего прав никаких нет, кроме консультаций сотрудников минцифры по своим предметным областям.
lshw покажет все банки памяти производителя и пр.
repo.postgrespro.ru там под arm сборки есть
Приведу простой пример. Есть пункт ипотека, зайдя в который пользователь ожидает увидеть свои платежи по ипотеке (как поступление денег с других счетов, так и списание средств банком), логично как по мне.
Заходим в данный пункт и что же мы видим, платежей нет, а куда же они спрятались? Они спрятались в «Карты и счета»- «текущий счет в рублях»
В том же пункте присутствует плюсовое поступление, откуда оно понять не возможно, а это возврат процентов по опции «заемщик» догадаться об этом я видимо тоже эмпирическим путем.
И такое в каждом пункте. Был интерфейс ужасный и рабочий, стал просто ужасный. Оптимизировали — спасибо.
К мониторингу не имеет отношения от слова совсем.
Привожу
Пример 1: приехал монтажник на узел. Видит висит патч. Хуяк замкнул пару и посмотрел в интерфейсе в какой порт она воткнута, состояние этого кабеля и его длину.
Пример 2: Приехал на вызов в 200 квартиру, посмотрел descr порта на коммутаторе, длину кабеля. Увидел замыкание на 2 паре на 5 метров короче чем на первой, приходишь в квартиру и точно собачка кабель погрызла.
По подходу к людям чувствуется дoм.xx :) Отработал там год и покинул компанию по тем же причинам — жутко низкая ЗП у инженеров по региону, автоматизация никому нах. не сдалась кроме инженеров на местах которые пышут как папы Карло.
Собирать
Все белые ребята традиционной ориентации в rpm based дистрибутивах собирают rpm пакеты, предварительно написав spec файл. В чем проблема то использовать rpmbuild, mock или любую другую билд систему?
Не умеете писать spec? не беда с сайта haproxy переходим по ссылке и получаем bodhi.fedoraproject.org/updates/?packages=haproxy
пересобрать 2 минуты
Чего там в nftables с conntrack и как с ним работать? Ж) Ну и с nfset до кучи
X серверов, X сессий, тут тебе и балансировка и отказоустойчивость и масштабирование.
У Вас любой пакет в conntrack iptables поступает, и вполне очевидно при атаке эта таблица быстро исчерпается. Соответственно атака DDOS будет успешной.
Также нет информации сколько реально трафика ушло с интерфейсов и сколько пришло.
Покажите данные сколько трафика уходило, сколько пришло в серсвис. Где данные по запросам в секунду на L7 сервисе. Какое ПО использовалось.