Заказчик на эти 15 лямов уже домик себе присмотрел, а вы хотите, чтобы он отказался от своей мечты? :)
Под любым предлогом все заявки кроме нужной будут отфутболивать.
>Включен постоянно, использую в паре с WiFi
Чтобы все выбирали эту опцию производителям пора перестать гнаться за толщиной коммуникаторов. Что ни анонс — «на 1.2мм тоньше предыдущей модели». Млин. Забодали уже с тощими батареями. Дайте нам аппараты с аккумами на 2000+ махов и мы будем постоянно держать включенными и wi-fi и 3g и при этом еще музыку слушать и не думать доживет аппарат до вечера или нет. Многие готовы пережить лишние 2-3-4мм толщины ради дополнительного времени жизни аппарата.
Не совсем понятно при чем тут линукс (и опенсорс в частности)? Речь идет про ценник, который у многих производителей является тайной за семью печатями. Опять же ось не при делах — на купленном железе может быть развернута любая ось в соответствии с текущими потребностями, либо вообще ферма для виртуализации.
А наличие грамотных спецов — один из вариантов. Второй вариант — отдавать все на аутсорсинг. Смешение этих вариантов — адская штука. Ситуация — админ в отпуске, на курсах, в больнице (и т.п. — дописать свой вариант). Без него покупается оборудование, спецы интегратора без него все настраивают. Появляется админ — документации по тому что сделано почти ноль, но вроде все работает, спецы интегратора уже уехали домой в default city и их особо не попытаешь. Годика через 2-3 появляется необходимость что-то изменить, а спец интегратора, который это настраивал либо уволился уже, либо не помнит ни фига — и начинаются проблемы.
Так что вы тут не увиливайте — даешь ценник, а в идеале конфигуратор с выдачей примерного ценника, на сайте каждого вендора :)
+100500. Модная нынче тенденция продавать не железо, а решение напрягает. Т.е. у тебя есть проблема, а дальше манагеры вендора стараются развести тебя на максимальную сумму, чтобы эту проблему решить.
Особенно это напрягает, когда десяток раз за год приходится накидывать списки железа с примерной ценой и сроками составления «вчера, ну или в крайнем случае сегодня вечером». При том реально «выстреливает», т.е. дают деньги только под 2-3 из таких начинаний. Сначала половину дня пытаешься вытрясти ценник из манагеров, и потом они начинают тебя еще каждую неделю звонками напрягать — выстрелил проект или нет, хотя если проект выстрелит, то я сам их найду и не слезу пока не продадут.
Хорошо хоть под серванты и прочее железо на сайтах вендоров есть конфигураторы с примерными ценниками на выходе, у циски есть «вечно утекающий в сеть» GPL, а то делать обзвон по каждой из 50 позиций таблички — нереально.
Плюс радует, что у крупных вендоров большая часть такого железа (систем хранения и т.п.) представлена на прай.сру далеко не одним предложением и можно примерную вилку цен узнать без звонков. Поэтому оборудования сабжевого производителя у нас нет и не будет :)
Сорри за длинный пост — наболело. Устал от постоянного квеста «узнай ценник». При том, что основная работа — админство, а не закупка железа.
Ядро тоже можно руками под себя собирать, только этого развлечения на серваках хватает. На своей рабочей станции хочется сделать пару кликов и уже начать играть в любимую игрушку :) То бишь не повредило бы в статье это как альтернативу указать.
>Как установить несколько разных версий wine?
А не проще юзать PlayOnLinux? Для каждой софтины можно свою версию вайна иметь с отдельным префиксом и своими настройками.
Если бы в статье было кратко указано для чего и под какие задачи этот дистр заточен, то не пришлось бы лезть на сайт разработчиков для того, чтобы это выяснить :) Не все знают про него. Я первый раз услышал.
Просто дистров куча, и все в чем-то замечательные :)
блин. отправилось нечаянно. продолжаю…
что-то разрабатывать для них, идти трясти гранты на дальнейшие исследования.
И для университетов это не просто так — через НИЧ ВУЗы забирают 15% (если не ошибаюсь) с грантов и хоз. договоров. То есть можно рассматривать з/п преподавателей как плату за само преподавание и инвестиции в научные исследования, которые потом потенциально вернутся ВУЗу.
Да и вообще, честно говоря, забодали уже все сравнивать нашу науку и СШП. У нас принципиально разные научные школы и системы преподавания. Вспомните поговорку — «Что русскому хорошо, то немцу — смерть». Это тоже самое, что говорить, что раз все китайцы прекрасно живут на рисовой лапше, то нефик жрать макароны и сало.
Сейчас благодаря идиотам в министерстве образования мы получили адскую смесь из американской, европейской и старой советской системы образования и науки. В результате имеем тупых студентов, 75% из которых вообще ничего учить не хотят и тупо вымучивают свои оценки из преподавателей, а на выходе имеем соответствующих специалистов.
Классическая проблема курицы и яйца. Чтобы получить грант, надо быть хорошим спецом в данной области, чтобы им стать, с нуля никто денег не даст, поэтому существует научно-исследовательская работа на кафедрах. Банально, чтобы сохранять за собой звание доцента, надо иметь N-ное количество публикаций за год. Те кто тупо приходит отчитывать лекции — записываются в соавторы в статьи друзей и не парятся. А те, кто хочет заниматься наукой — реально что-то исследуют, работают с аспирантами, клепают публикации пачками и т.п. И когда по теме набирается команда хороших спецов, то можно уже идти в организации и на основе наработанного багажа что-то разрабатывать для них,
Ну это кому как нравится. Я к 4000 уже привык так, что на другую клаву не пересяду. Хотя на работе за какими только не приходится периодически работать — в основном из категории «купили на сдачу, шоб была хоть какая-то»… :)
Но вот мышки — однозначно только логитек. На работе некрософтовая забодала, жду когда приедет как дома — performance mx :)
Пробовал на элитке работать. Вертикальное расположение блока Insert-Del и нестандартно расположенные курсорные клавиши не понравились категорически. Выбил на работу 4000ю. Поработал пол-года и купил домой такую же :)
Полностью согласен. Только это не команда создана, а дополнительные атрибуты файловой системы extX. Т.е. на других файловых системах свои дополнительные атрибуты и эта команда не сработает.
А так — да, chattr +i и даже рут не сможет удалить файл или директорию пока не снимет атрибут, или +a если в файл надо писать.
Ок.
Насчет типа ответа уже на так принципиально все. Правило стоит последним в цепочке, значит этот ответ будет отдаваться и по открытым и по закрытым портам — дополнительной информации не сливаем, т.к. ответ всегда один.
Согласен, но ssh все же немного безопаснее. Типичный сценарий:
1. Админ с разрешенного адреса заливает файлы по фтп или пользуется другой службой без шифрования трафика.
2. Трафик идет по открытой сети. Сосед или комп жены/ребенка ловит вирусню, которая начинает шмалять пакеты в сеть о том, что мак шлюза изменился на мак вирусованного компа. Все — пароль уплыл.
Либо по дороге стоит машина со снифером.
3. Хакер с утянутым паролем заходит на общедоступную службу нашего сервака и читает почту админа, или еще как-нибудь пакостит.
Ну и опять же возможен случай, когда хакер зайдет на сервер с вирусованной машины из доверенной сети.
Т.е. фаервол в данном случае не панацея. Редхат в половине своих курсов не зря постоянно повторяет — не передавайте в чистом виде данные с логином/паролем по открытым сетям.
То что я использую, на самом деле логическое продолжение парадигмы об отключении лишних сервисов. Все что нужно админам или ограниченному кругу лиц не должно висеть на внешнем интерфейсе, а быть доступным только через ssh или vpn.
>При политике файрвола по умолчанию ACCEPT администратору придётся явно запрещать весь нежелательный трафик.
>Это приведёт к большому количеству правил, а соответственно к усложнению системы и замедлению её работы.
>Гораздо проще запретить все пакеты и разрешить лишь нужные.
Про полный запрет инпута опять же упоминалось в комментах прошлой статьи. Для апдейтов будете по ip-адресам апдейт-серверов разрешать или по порту все-таки откроете? Проще сделать разрешение на прием ответов для соединений, которые мы же сами и инициировали.
Плюс я бы еще добавил в статью:
Все службы, которые нужны только для администрирования, вешаем на 127.0.0.1 и ходим на них через ssh port-forwarding. Плюс также можно перевесить скрипты для администрирования на вторую копию апача, которая также на localhost слушает и работать с ним аналогично.
Какие интересно лишние данные? В случае с корректным REJECT мы по всем портам — открытым или не открытым даем одинаковый отлуп, т.е. определить есть ли служба сканер не сможет, если он не находится в списке разрешенных хостов. А вот головную боль нормальным юзерам обеспечим, особенно с наличием нестандартных портов. Ошибся портом — и сиди жди тайм-аута.
Полиси iptables по дефолту в DROP не стоит ставить. В прошлом топике обсуждали почему. Лучше оттуда примеры скопируйте, т.е. REJECT с корректным отлупом.
Я обычно vpn не ставлю, а обучаю юзеров делать port forwarding через ssh, чтобы работать с сервисами внутренней сети. При большом количестве сервисов и т.п. — однозначно vpn, но пока только один случай был, когда ssh не хватило.
У меня принцип — меньше служб, выше безопасность. Т.е. там где возможно, как минимум вместо vpn и ftp используется ssh.
Под любым предлогом все заявки кроме нужной будут отфутболивать.
Чтобы все выбирали эту опцию производителям пора перестать гнаться за толщиной коммуникаторов. Что ни анонс — «на 1.2мм тоньше предыдущей модели». Млин. Забодали уже с тощими батареями. Дайте нам аппараты с аккумами на 2000+ махов и мы будем постоянно держать включенными и wi-fi и 3g и при этом еще музыку слушать и не думать доживет аппарат до вечера или нет. Многие готовы пережить лишние 2-3-4мм толщины ради дополнительного времени жизни аппарата.
А наличие грамотных спецов — один из вариантов. Второй вариант — отдавать все на аутсорсинг. Смешение этих вариантов — адская штука. Ситуация — админ в отпуске, на курсах, в больнице (и т.п. — дописать свой вариант). Без него покупается оборудование, спецы интегратора без него все настраивают. Появляется админ — документации по тому что сделано почти ноль, но вроде все работает, спецы интегратора уже уехали домой в default city и их особо не попытаешь. Годика через 2-3 появляется необходимость что-то изменить, а спец интегратора, который это настраивал либо уволился уже, либо не помнит ни фига — и начинаются проблемы.
Так что вы тут не увиливайте — даешь ценник, а в идеале конфигуратор с выдачей примерного ценника, на сайте каждого вендора :)
Особенно это напрягает, когда десяток раз за год приходится накидывать списки железа с примерной ценой и сроками составления «вчера, ну или в крайнем случае сегодня вечером». При том реально «выстреливает», т.е. дают деньги только под 2-3 из таких начинаний. Сначала половину дня пытаешься вытрясти ценник из манагеров, и потом они начинают тебя еще каждую неделю звонками напрягать — выстрелил проект или нет, хотя если проект выстрелит, то я сам их найду и не слезу пока не продадут.
Хорошо хоть под серванты и прочее железо на сайтах вендоров есть конфигураторы с примерными ценниками на выходе, у циски есть «вечно утекающий в сеть» GPL, а то делать обзвон по каждой из 50 позиций таблички — нереально.
Плюс радует, что у крупных вендоров большая часть такого железа (систем хранения и т.п.) представлена на прай.сру далеко не одним предложением и можно примерную вилку цен узнать без звонков. Поэтому оборудования сабжевого производителя у нас нет и не будет :)
Сорри за длинный пост — наболело. Устал от постоянного квеста «узнай ценник». При том, что основная работа — админство, а не закупка железа.
А не проще юзать PlayOnLinux? Для каждой софтины можно свою версию вайна иметь с отдельным префиксом и своими настройками.
Просто дистров куча, и все в чем-то замечательные :)
что-то разрабатывать для них, идти трясти гранты на дальнейшие исследования.
И для университетов это не просто так — через НИЧ ВУЗы забирают 15% (если не ошибаюсь) с грантов и хоз. договоров. То есть можно рассматривать з/п преподавателей как плату за само преподавание и инвестиции в научные исследования, которые потом потенциально вернутся ВУЗу.
Да и вообще, честно говоря, забодали уже все сравнивать нашу науку и СШП. У нас принципиально разные научные школы и системы преподавания. Вспомните поговорку — «Что русскому хорошо, то немцу — смерть». Это тоже самое, что говорить, что раз все китайцы прекрасно живут на рисовой лапше, то нефик жрать макароны и сало.
Сейчас благодаря идиотам в министерстве образования мы получили адскую смесь из американской, европейской и старой советской системы образования и науки. В результате имеем тупых студентов, 75% из которых вообще ничего учить не хотят и тупо вымучивают свои оценки из преподавателей, а на выходе имеем соответствующих специалистов.
Но вот мышки — однозначно только логитек. На работе некрософтовая забодала, жду когда приедет как дома — performance mx :)
А так — да, chattr +i и даже рут не сможет удалить файл или директорию пока не снимет атрибут, или +a если в файл надо писать.
Насчет типа ответа уже на так принципиально все. Правило стоит последним в цепочке, значит этот ответ будет отдаваться и по открытым и по закрытым портам — дополнительной информации не сливаем, т.к. ответ всегда один.
1. Админ с разрешенного адреса заливает файлы по фтп или пользуется другой службой без шифрования трафика.
2. Трафик идет по открытой сети. Сосед или комп жены/ребенка ловит вирусню, которая начинает шмалять пакеты в сеть о том, что мак шлюза изменился на мак вирусованного компа. Все — пароль уплыл.
Либо по дороге стоит машина со снифером.
3. Хакер с утянутым паролем заходит на общедоступную службу нашего сервака и читает почту админа, или еще как-нибудь пакостит.
Ну и опять же возможен случай, когда хакер зайдет на сервер с вирусованной машины из доверенной сети.
Т.е. фаервол в данном случае не панацея. Редхат в половине своих курсов не зря постоянно повторяет — не передавайте в чистом виде данные с логином/паролем по открытым сетям.
То что я использую, на самом деле логическое продолжение парадигмы об отключении лишних сервисов. Все что нужно админам или ограниченному кругу лиц не должно висеть на внешнем интерфейсе, а быть доступным только через ssh или vpn.
>Это приведёт к большому количеству правил, а соответственно к усложнению системы и замедлению её работы.
>Гораздо проще запретить все пакеты и разрешить лишь нужные.
Про полный запрет инпута опять же упоминалось в комментах прошлой статьи. Для апдейтов будете по ip-адресам апдейт-серверов разрешать или по порту все-таки откроете? Проще сделать разрешение на прием ответов для соединений, которые мы же сами и инициировали.
Все службы, которые нужны только для администрирования, вешаем на 127.0.0.1 и ходим на них через ssh port-forwarding. Плюс также можно перевесить скрипты для администрирования на вторую копию апача, которая также на localhost слушает и работать с ним аналогично.
ps -Z
ls -Z
У меня принцип — меньше служб, выше безопасность. Т.е. там где возможно, как минимум вместо vpn и ftp используется ssh.