Жаль заголовок отличается от содержимого статьи. Свой postfix в контейнере вы не ставите и не настраиваете. А запускаете чей-то преднастроенный образ. Под ваше описание задачи больше подходит вот это.
Пока не устранен главный канал утечки конфиденциальной информации, глаза и мозг читающего эту информацию, все остальные каналы можно считать условно возможными.
У меня один вопрос. Почему из инструкции в инструкцию, по настройке OpenVPN повторяется использование RSA и CBC, когда уже 9 лет поддерживаются эллиптические кривые?
Давайте вспомним, что сейчас 2025 год и основной дистрибутив Ubuntu 24.04.
1. Перестанем калечить системный sshd_config и начнем класть свою конфигурацию, в предназначенную для этого sshd_config.d директорию. 2. Изучим и начнем использовать nftables. 3. Начнем генерировать ключи в формате ed25519 вместо rsa.
А дальше погрузимся в изучение "как глубока кроличья нора".
1. Крепко задумаемся о включенном "по умолчанию" IPv6. Будем мы его отключать на уровне ядра и героически побеждать ругань некоторого ПО на его отсутствие. Например Nginx. Или все же аккуратно будем его настраивать на уровне сетевых интерфейсов и nftables. 2. По умолчанию Ubuntu использует ssh.socket. А что будет при срочном обновлении openssh (из-за критического CVE), если вы его перевели в ssh.service? В документации рекомендовано: mkdir -p /etc/systemd/system-generators/ ln -s /dev/null /etc/systemd/system-generators/sshd-socket-generator systemctl daemon-reload systemctl disable --now ssh.socket systemctl enable --now ssh.service 3. И чтоб нагнать жути, следим за Changelog. И задумываемся поставить openssh из nobel-proposed.
Остается "не забыть", что у блока питания светодиодной лампы кратковременный пусковой ток может быть до 50А. Или там еще должно быть встроено токо-ограничительное реле пускового тока. А то потом на группу света лепят 32А автомат, C класса. Ибо B класса и меньшего номинала всегда вышибает. Ну и запас выключателей, ибо искра на контакте, при включении/выключении, успевает в труху превратить контакт иногда за год. И не забывать, все эти элементы делать доступными для замены. А то уже наблюдал, как в элитной квартире жили с половиной освещения гостиной до отпуска. Т.к. блок питания издох. А монтажники его за потолок из гиспсо-картона поставили.
Так и я с вами в этом совершенно согласен. По этой причине покупаются только ПК с Win Pro. И что бы в бухгалтерских бумагах это было отображено.
А где используют самосборные ПК, без внешних признаков Win на корпусе и с явной цифровой лицензией Enterprise/LTSC, я даже стараюсь к клавиатуре не прикасаться уже лет 15. Что бы даже не было соблазна на меня пальцем показать.
Это если вы напрямую коммутируете выключателем условную лампочку накаливания. А когда вам надо будет выключать лампочки с разных мест? А когда вы захотите управлять светом и цветом люстры? А когда у вас таких светильников только в спальне более 4-5 штук? Для любознательности можете обратить внимание на DALI и DMX. Еще RS485 и MQTT может пригодится. А выбор контроллеров управления домовой электрикой... Это отдельное глубокое болото море. P.S. Лично видел в новой дорогущей, многокомнатной квартире, с дизайнерской отделкой, щиток почти как в старой "хрущевке". На весь свет там один автомат на 32А. Т.к. остальные у них вырубало. И за год уже сдохло два выключателя.
Так я же не агитирую за, или против лицензий. Я про неправильность понимания основных нюансов. Проверяющий в первую очередь требует бухгалтерские документы на покупку ПО. А уже потом (если совсем вас заказали) будет разбираться где вы качали дистрибутив для установки. Но вот если у вас 100 ПК, а у бухгалтера 0 закупок лицензий, то начинается очень веселое шоу. Ну и обычные лицензии Win Pro вполне легально приобретаются с брендовыми ПК, как часть программно-аппаратного комплекса. Главное что бы бухгалтера отобразили это в документах. Уж те же Dell и HP, 3-4 летней давности на вторичке, можно было брать паллетами в прошлом и позапрошлом году.
Если ваша электросхема из десятка выключателей, включающих напрямую десяток лампочек накаливания, то любой советский школьник это может сделать. Т.к. этому учили на физике и на труде. Но как только у вас появятся светодиодные ленты, диммируемые светильники... Да вы еще и свет или розетки захотите с нескольких мест включать... Тут такие "творческие" и "деятельные" личности набегут... И ценник вам будут выставлять соответствующий, если вы хотя бы поверхностно не знакомы со всей этой тематикой.
Это вы зря подсказали. Завтра найдется группа обеспокоенных предпринимателей, которые создадут очередную "независимую" инстанцию, доказывающую, что все лопаты есть наивысшее зло "зеленого перехода". И после завтра, с удивлением, будем смотреть очередную серию борьбы за что-нибудь "зеленое".
Перестаньте править sshd_config! Это файл системных настроек. Который может быть затерт при обновлении системы. Для пользовательских настроек есть каталог sshd_config.d.
Зачем RSA ключи для новых систем в 2025 году? Они скорее понадобятся для старых систем и старого оборудования. Для остального есть ed25519.
Зачем ufw в новом сервере в 2025 году? Debian12, Ubuntu 22.04-24.04 используют nftables.
ИМХО. Из-за отсутствия поддержки nftables в Docker, лучше перейти на Podman. Правда проскакивала информация, что новую версию Docker переведут на nftables. Но срок пока не определен.
Около 30 лет назад, "упражнялся" кодом, на TASM с параметром регенерации памяти на IBM XT клоне, под MSDOS. Помню что удавалось получить прирост быстродействия до 12%. Стабильно работало до 10%.
Вообще-то Huawei начали давить санкциями, т.к. патенты на 5G не отдал кому надо. И наложить на Huawei санкции еще раз не получится. Т.к. он один из первых был под санкциями, с 2019 года, и из под них не выходил. Но возможно, я уже за давностью времен что-то и пропустил в нашем скоротечном водовороте событий последних лет.
Жаль заголовок отличается от содержимого статьи. Свой postfix в контейнере вы не ставите и не настраиваете. А запускаете чей-то преднастроенный образ.
Под ваше описание задачи больше подходит вот это.
Нужно сразу было использовать Astra Linux, вместо Oracle Linux. Конечно же прикупив акции. Тогда и повода для статьи не было. ;-)
Пока не устранен главный канал утечки конфиденциальной информации, глаза и мозг читающего эту информацию, все остальные каналы можно считать условно возможными.
Ну почему DevOps методология опять в статье выродилась в DevOps-инженера, со знаниями исключительно облачно-контейнерных инструментов?
У меня один вопрос.
Почему из инструкции в инструкцию, по настройке OpenVPN повторяется использование RSA и CBC, когда уже 9 лет поддерживаются эллиптические кривые?
У нас они прокладывали П-296 на 200-300 метров и добивались стабильных 100Мбит/c.
Давайте вспомним, что сейчас 2025 год и основной дистрибутив Ubuntu 24.04.
1. Перестанем калечить системный sshd_config и начнем класть свою конфигурацию, в предназначенную для этого sshd_config.d директорию.
2. Изучим и начнем использовать nftables.
3. Начнем генерировать ключи в формате ed25519 вместо rsa.
А дальше погрузимся в изучение "как глубока кроличья нора".
1. Крепко задумаемся о включенном "по умолчанию" IPv6. Будем мы его отключать на уровне ядра и героически побеждать ругань некоторого ПО на его отсутствие. Например Nginx. Или все же аккуратно будем его настраивать на уровне сетевых интерфейсов и nftables.
2. По умолчанию Ubuntu использует ssh.socket. А что будет при срочном обновлении openssh (из-за критического CVE), если вы его перевели в ssh.service?
В документации рекомендовано:
mkdir -p /etc/systemd/system-generators/ln -s /dev/null /etc/systemd/system-generators/sshd-socket-generator
systemctl daemon-reload
systemctl disable --now ssh.socket
systemctl enable --now ssh.service
3. И чтоб нагнать жути, следим за Changelog. И задумываемся поставить openssh из nobel-proposed.
Остается "не забыть", что у блока питания светодиодной лампы кратковременный пусковой ток может быть до 50А. Или там еще должно быть встроено токо-ограничительное реле пускового тока. А то потом на группу света лепят 32А автомат, C класса. Ибо B класса и меньшего номинала всегда вышибает. Ну и запас выключателей, ибо искра на контакте, при включении/выключении, успевает в труху превратить контакт иногда за год.
И не забывать, все эти элементы делать доступными для замены. А то уже наблюдал, как в элитной квартире жили с половиной освещения гостиной до отпуска. Т.к. блок питания издох. А монтажники его за потолок из гиспсо-картона поставили.
Так и я с вами в этом совершенно согласен. По этой причине покупаются только ПК с Win Pro. И что бы в бухгалтерских бумагах это было отображено.
А где используют самосборные ПК, без внешних признаков Win на корпусе и с явной цифровой лицензией Enterprise/LTSC, я даже стараюсь к клавиатуре не прикасаться уже лет 15. Что бы даже не было соблазна на меня пальцем показать.
Это если вы напрямую коммутируете выключателем условную лампочку накаливания.
А когда вам надо будет выключать лампочки с разных мест? А когда вы захотите управлять светом и цветом люстры? А когда у вас таких светильников только в спальне более 4-5 штук?
Для любознательности можете обратить внимание на DALI и DMX. Еще RS485 и MQTT может пригодится.
А выбор контроллеров управления домовой электрикой... Это отдельное глубокое
болотоморе.P.S. Лично видел в новой дорогущей, многокомнатной квартире, с дизайнерской отделкой, щиток почти как в старой "хрущевке". На весь свет там один автомат на 32А. Т.к. остальные у них вырубало. И за год уже сдохло два выключателя.
Так я же не агитирую за, или против лицензий. Я про неправильность понимания основных нюансов. Проверяющий в первую очередь требует бухгалтерские документы на покупку ПО. А уже потом (если совсем вас заказали) будет разбираться где вы качали дистрибутив для установки. Но вот если у вас 100 ПК, а у бухгалтера 0 закупок лицензий, то начинается очень веселое шоу.
Ну и обычные лицензии Win Pro вполне легально приобретаются с брендовыми ПК, как часть программно-аппаратного комплекса. Главное что бы бухгалтера отобразили это в документах. Уж те же Dell и HP, 3-4 летней давности на вторичке, можно было брать паллетами в прошлом и позапрошлом году.
Или свободное ПО и лицензированное. Или LTSC и активация, с того же про рекламированного сайта. Тут уж надо или трусы надеть, или крестик снять.
За "политику налогооблоШения" - отдельный респект. ;-)
Если ваша электросхема из десятка выключателей, включающих напрямую десяток лампочек накаливания, то любой советский школьник это может сделать. Т.к. этому учили на физике и на труде.
Но как только у вас появятся светодиодные ленты, диммируемые светильники... Да вы еще и свет или розетки захотите с нескольких мест включать... Тут такие "творческие" и "деятельные" личности набегут... И ценник вам будут выставлять соответствующий, если вы хотя бы поверхностно не знакомы со всей этой тематикой.
Это вы зря подсказали.
Завтра найдется группа обеспокоенных предпринимателей, которые создадут очередную "независимую" инстанцию, доказывающую, что все лопаты есть наивысшее зло "зеленого перехода".
И после завтра, с удивлением, будем смотреть очередную серию борьбы за что-нибудь "зеленое".
Перестаньте править sshd_config! Это файл системных настроек. Который может быть затерт при обновлении системы. Для пользовательских настроек есть каталог sshd_config.d.
Зачем RSA ключи для новых систем в 2025 году? Они скорее понадобятся для старых систем и старого оборудования. Для остального есть ed25519.
Зачем ufw в новом сервере в 2025 году? Debian12, Ubuntu 22.04-24.04 используют nftables.
ИМХО. Из-за отсутствия поддержки nftables в Docker, лучше перейти на Podman. Правда проскакивала информация, что новую версию Docker переведут на nftables. Но срок пока не определен.
В openvpn пару лет уже можно использовать fingerprint вместо центра сертификации.
Вот есть пример на эту тему.
Очередной чайник Рассела запущен. Ждем продолжения.
Патч Бармина же был универсальным.
Около 30 лет назад, "упражнялся" кодом, на TASM с параметром регенерации памяти на IBM XT клоне, под MSDOS. Помню что удавалось получить прирост быстродействия до 12%. Стабильно работало до 10%.
Вообще-то Huawei начали давить санкциями, т.к. патенты на 5G не отдал кому надо. И наложить на Huawei санкции еще раз не получится. Т.к. он один из первых был под санкциями, с 2019 года, и из под них не выходил.
Но возможно, я уже за давностью времен что-то и пропустил в нашем скоротечном водовороте событий последних лет.