Разумеется, рядом с Restart=always я всегда пишу что-то вроде RestartSec=5 чтобы такого не происходило
системные извещения о подобной проблеме не продуманы либо просто отказали
Это не имеет отношения к Restart=always, без извещений катастрофа будет в любом случае. А вот Restart=always наоборот спасает от катастрофы в случае если она лечится этим самым рестартом - вот как в случае с этим вашим nginx
А ты об этом узнаёшь через пару недель
И опять же никакого отношения к Restart=always, без него всё ровно то же самое
Именно для этого в юните nginx.service прописано After=network-online.target, вам наверно стоит проверить работоспособность этого
все необходимые сервисы не просто запущены, а полностью поднялись и реально отвечают на запросы.
А для этого есть sd_notify — сервис шлёт READY=1, systemd понимает что сервис поднялся — и только после этого начинает запускать связанные с ним сервисы, без всяких prestart-скриптов
Rust умеет паниковать при внезапном переполнении в отладочной сборке, а также предоставляет функции типа overflowing_add и saturating_add для случаев когда точно нужно вполне конкретное поведение сложения
И как раз на Rust уже можно кодить драйвера для линукса)
Контейнеры разумеется в отдельной сети, но проброс-то портов всё равно придётся делать, и они с какого-то перепуга по умолчанию пробрасываются сразу в интернет. Я конечно почитал доку и перебиндил всё на 127.0.0.1, только вот вообще-то с точки зрения безопасности наоборот всё должно биндиться на 127.0.0.1 по умолчанию хотя бы в качестве «защиты от дурака» — и уж точно не должно быть никакого постороннего вмешательства в фаервол (опять же, в доках написано как его отключить, но блин, оно должно быть отключено по умолчанию!)
Не удивлюсь, если такое кривое поведение по умолчанию является причиной половины утечек всяких баз
Все рассуждения BugM в этой ветке исходят из допущения, что фаервол по умолчанию отключен или криво настроен (насколько такое допущение верно — сами разбирайтесь)
дропнутся ещё где-то на уровне интернет-провайдеров
А при отправке такого запроса напрямую на роутер его уже ничего не остановит, кроме фаервола. Проверял на кинетике, в котором фаервол включен по умолчанию — запросы не идут, выключаю фаервол — идут
Любая домохозяйка получает безопасную сеть дома просто так.
Как я уже пояснил в этом и предыдущем комментариях, данное утверждение ложно
То, что вы называете «безопасностью» — не безопасность, а череда случайностей, которые мешают напакостить (не сошлись дырки в швейцарском сыре)
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит (я проводил реальный эксперимент на практике — это действительно работает)
Вся ваша хвалёная «безопасность» держится лишь на той случайности, что такие запросы просто не дойдут до роутера — дропнутся ещё где-то на уровне интернет-провайдеров
При этом сам интернет-провайдер, имея прямое подключение к домашнему роутеру, сможет просканировать всю локальную сеть, если захочет и если его не остановит фаервол
Просто купить случайный роутер в магазине прокликать настройку далее-далее-готово и иметь гарантию что к вашей лампочке не будет доступа из интернета нельзя.
«В таких устройствах не должно быть. Печатать уникальные пароли Включать фаервол по умолчанию на каждом устройстве роутере давно научились.»
Если ваше устройство где вы запустили Докер доступно их интернета вы сами виноваты.
Почему виноват я, а не докер, без моего ведома перезаписывающий настройки настроенного мной фаервола?
И веронятно есть какая-то админка с доступом admin/admin.
А что, в IP-камерах с UPnP принципиально не бывает админок с доступом admin/admin?
Если бы я как простой пользователь не знал про UPnP, я бы мог решить не менять стандартный пароль, думая, что камера останется в пределах локальной сети и это не страшно
(к счастью, я не совсем простой и у меня есть привычка периодически прогонять себя через nmap с целью выявления каких-нибудь ошибок конфигурации)
(кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP)
Не лампочка, но мне попадалась IP-камера, которая автоматически без моего ведома выставила себя в интернет через UPnP. Непонятно, почему вы решили, что для этого нужно что-то заражать
Лично я решил просто всегда открывать freshrss через браузер, чтобы не натыкаться на клиентопроблемы
Разумеется, рядом с Restart=always я всегда пишу что-то вроде RestartSec=5 чтобы такого не происходило
Это не имеет отношения к Restart=always, без извещений катастрофа будет в любом случае. А вот Restart=always наоборот спасает от катастрофы в случае если она лечится этим самым рестартом - вот как в случае с этим вашим nginx
И опять же никакого отношения к Restart=always, без него всё ровно то же самое
Ну, ничего не мешает серверу nginx и серверу LDAP находиться на одной машине
Почему же? Он меня наоборот неоднократно спасал
А вы в своём предыдущем комментарии ничего не упоминали про «левую машину»
Но даже в таком случае:
Restart=alwaysи другие связанные опцииИменно для этого в юните
nginx.serviceпрописаноAfter=network-online.target, вам наверно стоит проверить работоспособность этогоА для этого есть sd_notify — сервис шлёт
READY=1, systemd понимает что сервис поднялся — и только после этого начинает запускать связанные с ним сервисы, без всяких prestart-скриптовОн уже добавлен из коробки (после autodetect)
Ну, Wayland не виноват в том, что pyautogui до сих пор не реализовал в себе его поддержку
Rust умеет паниковать при внезапном переполнении в отладочной сборке, а также предоставляет функции типа overflowing_add и saturating_add для случаев когда точно нужно вполне конкретное поведение сложения
И как раз на Rust уже можно кодить драйвера для линукса)
По-моему вы слишком хорошего мнения об админах таких серверов
Контейнеры разумеется в отдельной сети, но проброс-то портов всё равно придётся делать, и они с какого-то перепуга по умолчанию пробрасываются сразу в интернет. Я конечно почитал доку и перебиндил всё на 127.0.0.1, только вот вообще-то с точки зрения безопасности наоборот всё должно биндиться на 127.0.0.1 по умолчанию хотя бы в качестве «защиты от дурака» — и уж точно не должно быть никакого постороннего вмешательства в фаервол (опять же, в доках написано как его отключить, но блин, оно должно быть отключено по умолчанию!)
Не удивлюсь, если такое кривое поведение по умолчанию является причиной половины утечек всяких баз
Все рассуждения BugM в этой ветке исходят из допущения, что фаервол по умолчанию отключен или криво настроен (насколько такое допущение верно — сами разбирайтесь)
Потому что фаервол включен, очевидно
Ну так я то же самое и написал:
А при отправке такого запроса напрямую на роутер его уже ничего не остановит, кроме фаервола. Проверял на кинетике, в котором фаервол включен по умолчанию — запросы не идут, выключаю фаервол — идут
Как я уже пояснил в этом и предыдущем комментариях, данное утверждение ложно
То, что вы называете «безопасностью» — не безопасность, а череда случайностей, которые мешают напакостить (не сошлись дырки в швейцарском сыре)
NAT без фаервола не блокирует доступ к локальным устройствам: если извне прилетит запрос к локальному IP — роутер его без проблем отроутит (я проводил реальный эксперимент на практике — это действительно работает)
Вся ваша хвалёная «безопасность» держится лишь на той случайности, что такие запросы просто не дойдут до роутера — дропнутся ещё где-то на уровне интернет-провайдеров
При этом сам интернет-провайдер, имея прямое подключение к домашнему роутеру, сможет просканировать всю локальную сеть, если захочет и если его не остановит фаервол
Я тоже так могу:
«В таких устройствах не должно быть.
Печатать уникальные паролиВключать фаервол по умолчанию на каждомустройствероутере давно научились.»Почему виноват я, а не докер, без моего ведома перезаписывающий настройки настроенного мной фаервола?
И опять же:
А что, в IP-камерах с UPnP принципиально не бывает админок с доступом admin/admin?
Если бы я как простой пользователь не знал про UPnP, я бы мог решить не менять стандартный пароль, думая, что камера останется в пределах локальной сети и это не страшно
(к счастью, я не совсем простой и у меня есть привычка периодически прогонять себя через nmap с целью выявления каких-нибудь ошибок конфигурации)
(кстати здесь ещё можнно припомнить Docker, который в конфигурации по умолчанию !!!!!В ОБХОД ФАЕРВОЛА!!!!! выставляет себя голыми контейнерами в интернет — спасибо что хоть без UPnP)
А что, в IP-камерах с UPnP принципиально не может существовать RCE?
Ну например ровно в том же, в чём и причина вашей боязни доступа к лампочке?
Не лампочка, но мне попадалась IP-камера, которая автоматически без моего ведома выставила себя в интернет через UPnP. Непонятно, почему вы решили, что для этого нужно что-то заражать
Мне надо