Вы упоминаете, что переносили все на астру. Вопрос: алд используется? В каком объеме? Тестировали или нет процессы обновлений самой оси на сервере субд, особенно если оно под алд?
Не очень понял, на конец внедрения какая в итоге версия субд осталась 14/15/16? С мандатным доступом?
В целом, поддерживаю идею о том, что как минимум нужно в 2024 уже писать явно про nftables/iptables применительно к решаемой задаче. Что-то типо "вот смотрите тут скриптец, но он iptables юзает, если у вас система с nftables (например, Debian 12), сделайте apt install iptables и можете готовить рецепт дальше, если не хотите ставить - дуйте в доки nftables для решения задачи своими руками"
ЗЫ: я сам честно пытался перевести домашний роутер на nftables. Ну модно же. У меня в общем то не очень то и много правил. около 100 строк +-. Но, каюсь, ниасилил. Совсем уж и синтаксис не тот и подход к формированию правил. Решил, что уж очень отлично с траснляцией в nftables справляется дебиановская прослойка.
я понимаю, что решение не для всех, но вот уже больше 10 лет я собираю все почту с 5 или 6 ящиков (даже не помню уже) на своем почтовом сервере дома. ОЧЕНЬ удобно с IMAPом на телефоне. Да, обслуживание, да домен, да настройки, каналы, обновления, но без опаски, что кто-то меня завтра не пустит... Хотя бы письма целые за 15+ лет. Да есть риск угона всегда, но про вещи из статьи типо резервного адреса и телефона маломальский ИТшник знать должен...
Я это ... никого ни к чему не принуждаю, не оскорбляю и не принижаю. Решение не для всех.
А автор молодец что поделился. Теперь можно ткнуть людям, которые еще так не делают в контексте "а вот смотри как бывает".
Проблема ведь не в "догадался" поставить вместо одной штуки другую, проблема доказательного плана, что вся эта кутерьма способна по алгоритмам сходиться.
вообще, думаю целевая аудитория у такой статьи имеется, но как-то кисловато для хабра аудитории. Про рекламу молчу. По существу, fail2ban хорошо бы конфигурить грамотно с заталкиванием ботов в ipset блок лист по всем портам надолго (неделя+) с удвоением срока при повторном бане (вроде это из коробки так делает в последних версиях). Почти во всех серверах есть веб, про SSL молчу уже, но опять же касательно бана нужно внимательно изучить логи и банить так же надолго. Сканеры часто ломятся по SMB портам - таких часто можно сразу в бан на неделю. и тп. К сожалению, если все что описано в статье вызывает вопросы, лучше обратиться к корешу за бутылку апельсинового сока помочь настроить серв с ликбезом...
НО когда уже будет прозрачная история с обновлением парка ПК/серверов с ALD и самого ALD? Все мануалы кишат о несовместимостях с какими-то версиями то saltstack, то самой астры. А раньше ALD вообще прилипал к конкретной версии астры. Это же дичь какая-то. Поправьте, если не прав.
А как же С/С++/cmake ?))
сходу подумал что домен openide.ru уже имеет сайт. Но пока пусто.
Планируется ведь?
Еще из текста не очень понял список поддерживаемых языков, хотя бы стартовых. Еще обсуждается?
вы все испортили) первую опечатку просто не заметил - глаз прочитал все правильно, а вторая прочиталась как новый мем "есть пирог для этой задачи ?"
спасибо. кажется я выбрал себе для домашней вики
Которую тоже собираются прикрыть/усложнить
Спасибо. Т.е. домен виндовый остался? или там FreeIPA / Samba ?
Спасибо за статью.
Вы упоминаете, что переносили все на астру. Вопрос: алд используется? В каком объеме? Тестировали или нет процессы обновлений самой оси на сервере субд, особенно если оно под алд?
Не очень понял, на конец внедрения какая в итоге версия субд осталась 14/15/16? С мандатным доступом?
В целом, поддерживаю идею о том, что как минимум нужно в 2024 уже писать явно про nftables/iptables применительно к решаемой задаче. Что-то типо "вот смотрите тут скриптец, но он iptables юзает, если у вас система с nftables (например, Debian 12), сделайте apt install iptables и можете готовить рецепт дальше, если не хотите ставить - дуйте в доки nftables для решения задачи своими руками"
ЗЫ: я сам честно пытался перевести домашний роутер на nftables. Ну модно же. У меня в общем то не очень то и много правил. около 100 строк +-. Но, каюсь, ниасилил. Совсем уж и синтаксис не тот и подход к формированию правил. Решил, что уж очень отлично с траснляцией в nftables справляется дебиановская прослойка.
эээ, а это про что? или это только uring касается?
я понимаю, что решение не для всех, но вот уже больше 10 лет я собираю все почту с 5 или 6 ящиков (даже не помню уже) на своем почтовом сервере дома. ОЧЕНЬ удобно с IMAPом на телефоне. Да, обслуживание, да домен, да настройки, каналы, обновления, но без опаски, что кто-то меня завтра не пустит... Хотя бы письма целые за 15+ лет. Да есть риск угона всегда, но про вещи из статьи типо резервного адреса и телефона маломальский ИТшник знать должен...
Я это ... никого ни к чему не принуждаю, не оскорбляю и не принижаю. Решение не для всех.
А автор молодец что поделился. Теперь можно ткнуть людям, которые еще так не делают в контексте "а вот смотри как бывает".
В ФФ тоже
все норм. там Дэвид Блэйн есть)
Проблема ведь не в "догадался" поставить вместо одной штуки другую, проблема доказательного плана, что вся эта кутерьма способна по алгоритмам сходиться.
вообще, думаю целевая аудитория у такой статьи имеется, но как-то кисловато для хабра аудитории. Про рекламу молчу.
По существу, fail2ban хорошо бы конфигурить грамотно с заталкиванием ботов в ipset блок лист по всем портам надолго (неделя+) с удвоением срока при повторном бане (вроде это из коробки так делает в последних версиях). Почти во всех серверах есть веб, про SSL молчу уже, но опять же касательно бана нужно внимательно изучить логи и банить так же надолго. Сканеры часто ломятся по SMB портам - таких часто можно сразу в бан на неделю. и тп.
К сожалению, если все что описано в статье вызывает вопросы, лучше обратиться к корешу за бутылку апельсинового сока помочь настроить серв с ликбезом...
Можно уйти в вычисления с фиксированной точкой.
на винде посмотрите robocopy, на лине rsync
нельзя так с утра в понедельник ну)) до тега нужного аж 7 абзацэвЪ))
Ну т.е. правильно что
Означает что локально развернутые в конторе WSUS сервера перестанут получать обновы ? я так понимаю с RU IP.
Из новости не понятно, отключат таки WSUS для РФ или нет.
Это все очень прикольно и интересно.
НО когда уже будет прозрачная история с обновлением парка ПК/серверов с ALD и самого ALD? Все мануалы кишат о несовместимостях с какими-то версиями то saltstack, то самой астры. А раньше ALD вообще прилипал к конкретной версии астры. Это же дичь какая-то. Поправьте, если не прав.