На мой взгляд, точки выглядят совершенно не к месту. Вот бы оформили их на соотв. столбах в отдельных плафонах, например, из пластика, чтобы не блокировать излучение. Было бы круто!
На мой взгляд, дальнейшие за/против SELinux бесполезны. Мне всегда претят рекомендации "для начала отключим доп. слой защиты". Уж в случае с веб-сервером разобраться можно было бы. Это один из самых уязвимых сервисов, здесь доп защита не мешает никогда. Да, правильно сконфигурированный любой сервис достаточно надёжен. Но если добавить правильно сконфигурированный SELinux, правильно сконфигурированный firewall/fail2ban, хуже не будет ведь? Или с "правильно настроенным" веб-сервисом и fail2ban не нужен? Не обязателен. Но если бы он шел "в коробке" с CentOS, то мануалы бы выглядели так: "для начала вырубаем fail2ban, отключаем SELinux"...
Вообще-то, гугл вас убеждать ни в чем не должен. Если уж так. Это вы должны искать решение своей задачи в гугле. И если вам что-то не нужно или напрягает, это уж точно не проблема гугла.
Когда может быть нужен или полезен SELinux? Дополнительная безопасность, порядок, контроль. Это все SELinux. Кому-то это ненужные возможности, а кому-то помощь.
Из своего опыта:
Например, когда вы его настраиваете, то для того же веб-сервера указываются конкретные директории, где лежат конфиг, логи и пр. И из папки логов .conf не заработает. Т.е. как минимум, структура выполнения будет выдерживаться строже. Левые файлы к процессу доступ иметь не смогут. Если на сервере работают разные люди, то это может так же спасти от неверных действий (запуск не из той директории и пр.).
Плюс пока все это порой выстроишь, самому потом проще документировать, что и где.
Если это хост KVM, то iso-шники, файлы vm и другое должны быть именно там, где они и должны быть. А если вам нужно что-то добавить — не вопрос, semanage fcontext --add -t virt_image_t '/vms(/.*)?'. К примеру.
Возня с SELinux неоднократно приводила лично меня к чистке мусора в конфигах, логах, отлаживанию всяких mysqld, запущенных когда-то кем-то и как-то работающих на стареньком и всеми забытом сервере. На кривых конфигах SELinux может мозг вынести. И это сразу видно, где все четко, а где — бардачокс. Не всегда (даже очень часто) это возможно сделать и нужно делать, особенно на уже запущенном сервере.
Запрет запуска веб-сервера/ssh/чего-угодно-еще на порту, отличном от заданного. Это разве пустяк? Совем нет.
Ну и такая штука, как выполнение левого кода через веб-шелл или еще какие приколы этого плана становятся сложнее для злоумышленника. Это может быть и не спасет, но время оттянет. А может и вовсе отбить охоту ломать такой сервис.
И, заметьте, я не призываю всегда использовать SELinux. Я предлагаю (и сам этому следую) стараться не отключать его. Как-то так.
Старайтесь никогда не отключать SELinux. Это на первый взгляд проблемная вещь. Всегда в таких ситуациях считайте, что не отключая SELinux: 1) вы понимаете свой личный уровень, 2) защищаете дополнительно сервер.
Занимаюсь отладкой умного дома моего шефа, недавно получил от спеца по интеграции умностей: умный дом должен быть умным, но не заумным.
Управлять кондеями и шторами, выставлять и контролировать скорость вентиляции действительно удобно. Но когда что-то начинает работать нештатно… Специалист по кондиционированию в своем частном доме в каждом помещении поставил механический контроллер теплого пола и доволен как слон — круглый год пол теплый. И плевать на то, есть интернет или нет. Ложась спать выключить перед этим свет — нормально. Ночник ставят так, чтобы рукой с кровати дотянуться удобно было.
Меня вдохновляет эпизод из «Пятого элемента», когда злодей чуть не умер от обычной косточки и все его кнопки ему не помогли.
Это просто бизнес. Альтруизм заканчивается там, где начинается открытая регистрация для всех и абузы, абузы, абузы…
Германия и Франция дают много дешевых хостингов, тот же dismail.de использует hetzner и contabo. Даже среди «приличных» все с приколами: dismail.de активирует почтовый аккаунт по запросу через xmpp, disroot.org приостановил регистрацию (объясняют тем, что в основном спамеры регятся), systemli.org по инвайтам только, куча заманух для платных подписок.
Our webmail service supports email encryption with GnuPG. We don't recommend this solution for private email addresses (see the warning above)! But for shared email addresses, e.g. addresses of groups or organizations, the webmail based email encryption might be a good option indeed.
Please note that in this case the private key used to decrypt the encrypted mails to you is stored on our servers. In other words: we and any third party with (unauthorized) access to our servers may read this key.
Certainly, the keys are additionally protected by your password. But whoever has access to our servers, might also modify the webmail service in a way that the password is logged next time that you input it.
Если кратко перевести — да, мы можем GnuPG. Но вы должны понимать, что даже защищенный паролем приватный ключ все равно лежит на наших серверах. Думайте перед тем как использовать.
При таком подходе (правильном, вообще-то) все эти почтовые сервисы полезны только как не требующие регистрации с телефоном. Да и то, повторюсь, при конкретных попытках регистрации — то понос, то золотуха, а не «приватный халявный imaps/smtps хостинг без смс и рекламы».
Почему бы просто не использовать OpenPGP или S/MIME с любым удобным почтовым сервисом?
1) OpenPGP или S/MIME надо настроить, затратить время, хоть немного вопросом заняться, а сейчас все на бегу, времени нет ни у кого;
2) этот сервис не требует номеров телефонов (судя по отзывам) для регистрации;
3) по-настоящему, мало кому надо реальное шифрование почты, достаточно или обещаний из Швейцарии или просто отсутствия требований вводить номер мобильника при создании ящика.
Мне тоже не нравится, что эту почту в обычной почтовой программе нельзя настроить (специальные мобильные клиенты — спасибо, не надо!).
Ну и что? Заходите раз в 3 месяца. Что такого? Или настройте pop3 download на другой ящик. Что можно считать константой, которую у вас/меня не отнять? Приватный ключ! Все, что вы подписываете им, для ваших друзей должно быть "от вас, сейчас и навеки", неважно, с какого email. Настройте smime, pgp и забудьте про то, какой конкретно ящик вы используете. Шифрование — вот ваш личный мир, которым правите вы и только вы. Нечто вроде слогана "pgp — и пусть весь мир подождёт" :)
Гугл не закроется. Да что там гугл! rambler, mail.ru, yandex с момента старта не закрыли ящики, в которые порой годами не заходил. Ящикам скоро 15 лет будет. Или больше. Забывать вас и упускать к другим не выгодно. Это огромные деньги. Вас не забудут, если вы сами не постараетесь для этого. Вы же не уникум шпиономанский? Кто ящик на gmail будет банить? Это что надо сделать такое? А если есть, за что, то лучше наоборот, использовать все врем разные почты. И одну свою белую, теплую ламповую, «для души», лет на 30 :)
А кроме проблем с выходом в сеть есть другая проблема: все остальные люди. Они-то будут пользоваться не вашим сервисом с уникальным id с супер стабильным, только вашим и неподделываемым xmpp-id :) все будут сидеть на whatsapp и telegram. И всем будет фиолетово. И придется сдаться. Проходил уже. Как только за пределы корпоративной обязанности сразу вопрос любого человека — а зачем это мне? И они правы. Это хочется/интересно/нужно мне, и не нужно им всем, включая брата, маму, друзей и других. Поэтому даже почту шифровать не такой уж огромный смысл. Ваши контрагенты ее шифровать скорее всего не будут. И никто не будет обмениваться какими-то там ключами. И вся переписка все равно будет проанализирована гуглом, ms, яндексом и прочими. Так что увлекаться по сути можно только защитой своих исходящих и хранящихся писем/сообщений. По-крайней мере, я вижу проблематику под таким углом зрения.
Независимый сервис? От внешних людей/государства? Это называется внутренний корпоративный/домашний почтовик/xmpp. Не арендованный дедик или VPS, а свой, ламповый. Но общаться с друзьями и коллегами не выйдет — все сидят в вацапе и в гмыле! А еще могут отключить мобильник, выгнать с работы, деньги накопленные девальвировать или просто счет прикрыть. Жизнь — боль :)
В любом случае за все надо платить. И если это не слив рекламным компаниям или не промо-акции при раскрутке сервиса, то значит это приносит прибыль как-то иначе или кто-то готов нести расходы за вашу почту :) Чудес не бывает, это точно. Другое дело, что если вы пишетесь со знакомыми/контрагентами, которые пользуются gmail, yandex и др., то смысла использовать такую почту почти нет. Век биг дата наступил. Все цепочки почты легко отследить даже не в целях раскрыть заговорщиков, а просто для того, чтобы все равно пользователям protonmail отсылать целевую рекламу!
Проще в местную газету "Из рук в руки" писать объявление про пропажу котика таких-то параметров, а параметры указывают на третьи строки в Большой Советской Энциклопедии, как в старые добрые времена :)
Такс, вопросы идеализма, просветленного коммунизма и идеального общества в более широком смысле я не рассматриваю! Насколько мне известно, за всю историю человечества идеального общества не было. А уж с развитыми ИТ технологиями и подавно. Даже у дикарей и то были шаманы, пытающиеся реализовать удаленное управление и контроль. И в чем-то они преуспели. Но не во всем. Возможно, благодаря собраниям stonehabra-вече, на котором далеко не все были довольны чьим-либо мониторингом. Кто знает…
На мой взгляд, дальнейшие за/против SELinux бесполезны. Мне всегда претят рекомендации "для начала отключим доп. слой защиты". Уж в случае с веб-сервером разобраться можно было бы. Это один из самых уязвимых сервисов, здесь доп защита не мешает никогда. Да, правильно сконфигурированный любой сервис достаточно надёжен. Но если добавить правильно сконфигурированный SELinux, правильно сконфигурированный firewall/fail2ban, хуже не будет ведь? Или с "правильно настроенным" веб-сервисом и fail2ban не нужен? Не обязателен. Но если бы он шел "в коробке" с CentOS, то мануалы бы выглядели так: "для начала вырубаем fail2ban, отключаем SELinux"...
Когда может быть нужен или полезен SELinux? Дополнительная безопасность, порядок, контроль. Это все SELinux. Кому-то это ненужные возможности, а кому-то помощь.
Из своего опыта:
Например, когда вы его настраиваете, то для того же веб-сервера указываются конкретные директории, где лежат конфиг, логи и пр. И из папки логов .conf не заработает. Т.е. как минимум, структура выполнения будет выдерживаться строже. Левые файлы к процессу доступ иметь не смогут. Если на сервере работают разные люди, то это может так же спасти от неверных действий (запуск не из той директории и пр.).
Плюс пока все это порой выстроишь, самому потом проще документировать, что и где.
Если это хост KVM, то iso-шники, файлы vm и другое должны быть именно там, где они и должны быть. А если вам нужно что-то добавить — не вопрос, semanage fcontext --add -t virt_image_t '/vms(/.*)?'. К примеру.
Возня с SELinux неоднократно приводила лично меня к чистке мусора в конфигах, логах, отлаживанию всяких mysqld, запущенных когда-то кем-то и как-то работающих на стареньком и всеми забытом сервере. На кривых конфигах SELinux может мозг вынести. И это сразу видно, где все четко, а где — бардачокс. Не всегда (даже очень часто) это возможно сделать и нужно делать, особенно на уже запущенном сервере.
Запрет запуска веб-сервера/ssh/чего-угодно-еще на порту, отличном от заданного. Это разве пустяк? Совем нет.
Ну и такая штука, как выполнение левого кода через веб-шелл или еще какие приколы этого плана становятся сложнее для злоумышленника. Это может быть и не спасет, но время оттянет. А может и вовсе отбить охоту ломать такой сервис.
И, заметьте, я не призываю всегда использовать SELinux. Я предлагаю (и сам этому следую) стараться не отключать его. Как-то так.
И спасибо за инфу что CentOS 8 вышел ;)
Управлять кондеями и шторами, выставлять и контролировать скорость вентиляции действительно удобно. Но когда что-то начинает работать нештатно… Специалист по кондиционированию в своем частном доме в каждом помещении поставил механический контроллер теплого пола и доволен как слон — круглый год пол теплый. И плевать на то, есть интернет или нет. Ложась спать выключить перед этим свет — нормально. Ночник ставят так, чтобы рукой с кровати дотянуться удобно было.
Меня вдохновляет эпизод из «Пятого элемента», когда злодей чуть не умер от обычной косточки и все его кнопки ему не помогли.
А вот список покупок — это вещь ;)
Германия и Франция дают много дешевых хостингов, тот же dismail.de использует hetzner и contabo. Даже среди «приличных» все с приколами: dismail.de активирует почтовый аккаунт по запросу через xmpp, disroot.org приостановил регистрацию (объясняют тем, что в основном спамеры регятся), systemli.org по инвайтам только, куча заманух для платных подписок.
Что очень понравилось от systemli.org (url):
Если кратко перевести — да, мы можем GnuPG. Но вы должны понимать, что даже защищенный паролем приватный ключ все равно лежит на наших серверах. Думайте перед тем как использовать.
При таком подходе (правильном, вообще-то) все эти почтовые сервисы полезны только как не требующие регистрации с телефоном. Да и то, повторюсь, при конкретных попытках регистрации — то понос, то золотуха, а не «приватный халявный imaps/smtps хостинг без смс и рекламы».
1) OpenPGP или S/MIME надо настроить, затратить время, хоть немного вопросом заняться, а сейчас все на бегу, времени нет ни у кого;
2) этот сервис не требует номеров телефонов (судя по отзывам) для регистрации;
3) по-настоящему, мало кому надо реальное шифрование почты, достаточно или обещаний из Швейцарии или просто отсутствия требований вводить номер мобильника при создании ящика.
Мне тоже не нравится, что эту почту в обычной почтовой программе нельзя настроить (специальные мобильные клиенты — спасибо, не надо!).
Ну и что? Заходите раз в 3 месяца. Что такого? Или настройте pop3 download на другой ящик. Что можно считать константой, которую у вас/меня не отнять? Приватный ключ! Все, что вы подписываете им, для ваших друзей должно быть "от вас, сейчас и навеки", неважно, с какого email. Настройте smime, pgp и забудьте про то, какой конкретно ящик вы используете. Шифрование — вот ваш личный мир, которым правите вы и только вы. Нечто вроде слогана "pgp — и пусть весь мир подождёт" :)
Я только про почту говорил. Чем проще, тем стабильнее.
Проще в местную газету "Из рук в руки" писать объявление про пропажу котика таких-то параметров, а параметры указывают на третьи строки в Большой Советской Энциклопедии, как в старые добрые времена :)