В какой-то момент там даже FreeBSD стояла, которую было не очень удобно поддерживать.
штА?
очередной наброс от горе-линухо-девляпсов?
ну да, готовых рецептов и докерфейлов в тырнетах не найти — головой приходится думать, а некогда. триклятая суета тайм2маркет...
Демон sshd (при включенном UseBlacklist) отправит инфу (authentication success/failure) на blacklistd сокет, и… запишет это в лог.
настраиваемо.
Ну а blacklistd прочитает её из сокета и распарсит.
Чем оно в принципе отличается от "распарсивания" fail2ban тех же строчек прочитанных из лога, никто так и не смог мне внятно объяснить.
лучше уж хотя бы тем, что не нужно в системе держать питон ради единственного fail2ban.
размер используемой памяти — очевидно же, не в пользу fail2ban.
и решение в случае sshd+blacklistd+ipfw получается "искаропки".
Вот не понимаю, зачем.
Вам шашечки или ехать?
У вас цель: обезопасить сервер или сделать мир лучше?
У меня, как правило, первая.
Поэтому sshd + blacklistd + ipfw ОТЛИЧНО справляются с данной задачей (по опыту, куда лучше fail2ban и sshguard).
И порт не меняю: а смысл?
Из-за того, что кто-то куда-то может пару раз постучать, корячиться и всегда помнить, что при ssh — одним способом порт указывать, при scp — другим?.. А скрипты: когда в одном проекте один порт, а в другом — он занят приложением?..
Безопасности добавли на ноль целых и ничего десятых, зато неудобства — на все 100 :)
Хорошо бы, помимо красивых презентаций, ещё и делом соответстовать декларируемым принципам такой "расхорошести" SELinux… Потому, что на практике получается, что при обновлении редхатовских продуктов (Red Hat Satellite, в частности), которые, помимо прочего, стоят немалых денег, приходится выключать SELinux :)
В итоге это оборачивается тем, что админам спокойнее выходит вообще отключить эту "защиту", чем каждый раз танцевать по граблям, заботливо разложенным ведущим вендором программных решений с открытым кодом...
ну, какбэ назвать "успешным" впаривание энтерпрайзам, модно озабоченных мультивендорностью/мультиклаудностью/мульти-etc, окаменевшего г0#нища — весьма спорное утверждение :)
чем Red Hat лучше AWS'а?
зацените:
Desktop (self-support only) — $49
это без поддержки (!) открытое ПО (!)
вопрос: за что?
только включаете поддержку, тут же получаете $299.
P.S. не апологет венды, но сравнить отношение цена/юзабилити стоит.
потому, что то, что в венде для энтерпрайза работает искаропки, в окаменевшем редхате и драчевым напильником не доведёшь до вменяемого состояния...
… в какой-то не очень приятный момент может оказатся, что амазон повысил цены и ваш бизнес перестал быть рентабельным.
а когда последний раз aws повышал цены?
мой непосредственный опыт показывает, что он только понижает: t3/c5/m5 дешевле своих предшественников t2/c4/m4...
К примеру, чего стоит недавнее заявление о том что ядро 5.0 скорее всего не будет поддерживать ZFS при том, что ничего enterprise ready в замен там в ближайшие годы не предвидится.
Просто обратите внимание на общую [для всего мира] тенденцию — не нужно потребителю знать, что там под капотом: закройте глаза и пользуйте. Сломалось — несите в СЕРВИС. Вот и в ИТ Вам будут продавать сервис: *aaS
Смириться. Пока тенденцию не качнёт обратно :)
P.S. потому на *tree-fs и строят всякие "лисапеты", вместо того, чтобы просто сделать zfs diff :))
На Lenovo G500 интегрированное видео i915 — нет там дискретной.
На него влёт становятся убунта 16.04 LTS (только потом желательно проверить, чтоб ядро было >4.4), centos 7, FreeBSD. Вайфай на последней запустить не удалось (блоб для broadcom'а нужен). Всё остальное работало.
штА?
очередной наброс от горе-линухо-девляпсов?
ну да, готовых рецептов и докерфейлов в тырнетах не найти — головой приходится думать, а некогда. триклятая суета тайм2маркет...
На моей [чёткой] памяти, лет двадцать как надеются…
В аккурат, как Рассея с колен встала-то...
Вы действительно считаете, что у разведки нет этих документов?
Чисто для справки: из ACM хрен как вытянешь секретный ключ.
И, да: он нужен ещё где.
2 behmaroman: статья зачётная. даже несмотря на то, что всё можно было затерраформить, а не только "финальный аккорд". Спасибо!
девляпс:
curl -sL https://deb.nodesource.com/setup_9.x | sudo bash -
P.S. чего потом удивляться, что докерхаб ломанули? культура такая — не приучила мама в детстве грязное не брать в рот...
ув. кул-хацкер уверен, или просто так: абы набросить?
лучше уже не скрипт + картинки + документация, а terraform || cloudformation || ansible || etc.
мультикаст?
в амазоне?
вы шутите?
Это Вы так про питон пошутили? :)
настраиваемо.
лучше уж хотя бы тем, что не нужно в системе держать питон ради единственного fail2ban.
размер используемой памяти — очевидно же, не в пользу fail2ban.
и решение в случае sshd+blacklistd+ipfw получается "искаропки".
Вот не понимаю, зачем.
Вам шашечки или ехать?
У вас цель: обезопасить сервер или сделать мир лучше?
У меня, как правило, первая.
Поэтому sshd + blacklistd + ipfw ОТЛИЧНО справляются с данной задачей (по опыту, куда лучше fail2ban и sshguard).
И порт не меняю: а смысл?
Из-за того, что кто-то куда-то может пару раз постучать, корячиться и всегда помнить, что при ssh — одним способом порт указывать, при scp — другим?.. А скрипты: когда в одном проекте один порт, а в другом — он занят приложением?..
Безопасности добавли на ноль целых и ничего десятых, зато неудобства — на все 100 :)
Хорошо бы, помимо красивых презентаций, ещё и делом соответстовать декларируемым принципам такой "расхорошести" SELinux… Потому, что на практике получается, что при обновлении редхатовских продуктов (Red Hat Satellite, в частности), которые, помимо прочего, стоят немалых денег, приходится выключать SELinux :)
В итоге это оборачивается тем, что админам спокойнее выходит вообще отключить эту "защиту", чем каждый раз танцевать по граблям, заботливо разложенным ведущим вендором программных решений с открытым кодом...
неплохо :)
Red Hat отвалил ему своих акций :)
такие аттракционы невиданной щедрости — редкость...
ну, под IBM'ом, смею предположить, будет ему кисло.
https://www.redhat.com/en/store/red-hat-enterprise-linux-desktop-or-red-hat-enterprise-linux-workstation#?sku=RH0844913
ну, какбэ назвать "успешным" впаривание энтерпрайзам, модно озабоченных мультивендорностью/мультиклаудностью/мульти-etc, окаменевшего г0#нища — весьма спорное утверждение :)
чем Red Hat лучше AWS'а?
зацените:
Desktop (self-support only) — $49
это без поддержки (!) открытое ПО (!)
вопрос: за что?
только включаете поддержку, тут же получаете $299.
P.S. не апологет венды, но сравнить отношение цена/юзабилити стоит.
потому, что то, что в венде для энтерпрайза работает искаропки, в окаменевшем редхате и драчевым напильником не доведёшь до вменяемого состояния...
так что, не пример Red Hat, не пример...
изрядно Вы это с прямым углом перепутали...
N.B. во FreeBSD лет ~10 назад bind можно было запустить в jail'е...
изменится.
Вы предельно неконкретны.
N.B. вброс это называется :)
а когда последний раз aws повышал цены?
мой непосредственный опыт показывает, что он только понижает: t3/c5/m5 дешевле своих предшественников t2/c4/m4...
Просто обратите внимание на общую [для всего мира] тенденцию — не нужно потребителю знать, что там под капотом: закройте глаза и пользуйте. Сломалось — несите в СЕРВИС. Вот и в ИТ Вам будут продавать сервис: *aaS
Смириться. Пока тенденцию не качнёт обратно :)
P.S. потому на *tree-fs и строят всякие "лисапеты", вместо того, чтобы просто сделать zfs diff :))
ну, х.е.з.
с Вашей стороны — убедительно.
но те (до десятка) G500, которые мне довелось щупать были 100% без дискретного видео…
извините.
На Lenovo G500 интегрированное видео i915 — нет там дискретной.
На него влёт становятся убунта 16.04 LTS (только потом желательно проверить, чтоб ядро было >4.4), centos 7, FreeBSD. Вайфай на последней запустить не удалось (блоб для broadcom'а нужен). Всё остальное работало.