Его мнение не играет никакой роли. Я вижу факт. За прямым и простым вопросом, почему при установке 3X-UI панели по умолчанию идет голый http, следует невнятный бред про свободу выбора, хотя для таких вещей TLS должен быть включен принудительно.
Про сертификат не очень понял. Он хочет свой собственный ставить? Есть пруфы, хочу ознакомиться?
Да, так и есть. Как и с любым другим утекшим конфигом. На самом деле пользователю ничего не мешает сдампить настройки с клиента и точно так же слить их в сеть.
Я, когда делал конфиг для nginx, советовался с коллегами, и если на этот URL не ведут ссылки, то пауки не смогут до него добраться. А рандомность адреса спасет от подборщиков. Так что в теории все более-менее секьюрно.
Насчет блокировки сложно сказать. На нашу улицу явно приходит некоторая оттепель, так уж жестить, что по слитым конфигам вручную банить, мне кажется, уже не будут. В худшем случае подрежут SS в период обострений.
Вообще, были бы деньги, я бы по другому сделал. Поднял сервак здесь, в России и раскидал всем VPN, по типу wireguard. А уже оттуда проксировал дальше. В таком виде и юзер менеджмент был бы проще, и всякие 2FA можно прикрутить. Заодно спрятать истинного виновника торжества от глаз пользователей.
Гайд хз для кого, потому что это не гайд. Я решил написать статью, потому что кто-то в комментах интересовался настройкой ОС в контексте ssh ключей и доп.безопасности. Ну и реализацией своей поделиться. Блог таки.
Друг получит от меня готовый архив с настроенной прогой и инструкцией на три строчки "что делать если поломалось". А он взамен угостит меня пивом в баре. На то он и друг, в общем то. Дальше я эту систему не развивал, ибо работает.
Если это не масштабирование, то хочу узнать, что есть тогда. Больше серверов, меньше серверов, новые настройки и т.д - все это я могу динамически держать в файле без всякой необходимости как то взаимодействовать с конечными пользователями. Я не дока Nginx, мне не нужно было с ним работать, поэтому чему научился, то и получилось.
Выбор реально не очень, грешен.
Я единоличный владелец и пользователь сервера, рут, не рут - мне нет никакого дела. Но я использую единый скрипт настройки ОС под конкретно мои SSH ключи и иметь для этого отдельного пользователя необходимо. Остальное это банальное удобство. За наводку на cloud-init благодарю, не знал как нему подобраться. Возьму на вооружение.
Я не умею в Angie или Caddy, к сожалению. Но немного умею в Traefik, поэтому решил не изобретать велосипед и просто подрезал с моего рабочего проекта.
Речь шла не о масштабировании через Docker, а через подписки. Кстати не вижу проблем применить и на нем. Я пробовал сделать что-то кластероподобное через Swarm, но с ним много проблем надо походу решать. Мои юзеры все свои, родные, разграничивать ничего не надо. У меня как-то раз упал один сервак, надолго, так я просто выкинул его из подписки вручную. Один рефреш на клиенте и летим дальше. А Docker взял просто потому что захотел, надеюсь это достаточный аргумент.
Да, я готов положить на безопасность сервера и вот почему: Во-первых, я не видел пока, что банят серваки с торчащим SS. Режут на ТСПУ, это могут. Для этого у меня есть VLESS. Во-вторых, поднять и настроить новый сервак занимает 15 минут (засекал пока писал статью). В-третьих, я бедный, у меня нет денег держать парк виртуалок под каждый чих.
Это просто URL, с которого клиент построчно забирает конфиги для настройки. Если меняются настройки сервера, то должно меняться и содержимое файла. Вот так выглядит мой, за вычетом ключей:
Его мнение не играет никакой роли. Я вижу факт. За прямым и простым вопросом, почему при установке 3X-UI панели по умолчанию идет голый http, следует невнятный бред про свободу выбора, хотя для таких вещей TLS должен быть включен принудительно.
Про сертификат не очень понял. Он хочет свой собственный ставить? Есть пруфы, хочу ознакомиться?
Да, так и есть. Как и с любым другим утекшим конфигом. На самом деле пользователю ничего не мешает сдампить настройки с клиента и точно так же слить их в сеть.
Я, когда делал конфиг для nginx, советовался с коллегами, и если на этот URL не ведут ссылки, то пауки не смогут до него добраться. А рандомность адреса спасет от подборщиков. Так что в теории все более-менее секьюрно.
Насчет блокировки сложно сказать. На нашу улицу явно приходит некоторая оттепель, так уж жестить, что по слитым конфигам вручную банить, мне кажется, уже не будут. В худшем случае подрежут SS в период обострений.
Вообще, были бы деньги, я бы по другому сделал. Поднял сервак здесь, в России и раскидал всем VPN, по типу wireguard. А уже оттуда проксировал дальше. В таком виде и юзер менеджмент был бы проще, и всякие 2FA можно прикрутить. Заодно спрятать истинного виновника торжества от глаз пользователей.
Отвечу, с Вашего позволения, с конца.
Гайд хз для кого, потому что это не гайд. Я решил написать статью, потому что кто-то в комментах интересовался настройкой ОС в контексте ssh ключей и доп.безопасности. Ну и реализацией своей поделиться. Блог таки.
Друг получит от меня готовый архив с настроенной прогой и инструкцией на три строчки "что делать если поломалось". А он взамен угостит меня пивом в баре. На то он и друг, в общем то. Дальше я эту систему не развивал, ибо работает.
Если это не масштабирование, то хочу узнать, что есть тогда. Больше серверов, меньше серверов, новые настройки и т.д - все это я могу динамически держать в файле без всякой необходимости как то взаимодействовать с конечными пользователями. Я не дока Nginx, мне не нужно было с ним работать, поэтому чему научился, то и получилось.
Выбор реально не очень, грешен.
Я единоличный владелец и пользователь сервера, рут, не рут - мне нет никакого дела. Но я использую единый скрипт настройки ОС под конкретно мои SSH ключи и иметь для этого отдельного пользователя необходимо. Остальное это банальное удобство. За наводку на cloud-init благодарю, не знал как нему подобраться. Возьму на вооружение.
Я не умею в Angie или Caddy, к сожалению. Но немного умею в Traefik, поэтому решил не изобретать велосипед и просто подрезал с моего рабочего проекта.
Речь шла не о масштабировании через Docker, а через подписки. Кстати не вижу проблем применить и на нем. Я пробовал сделать что-то кластероподобное через Swarm, но с ним много проблем надо походу решать. Мои юзеры все свои, родные, разграничивать ничего не надо. У меня как-то раз упал один сервак, надолго, так я просто выкинул его из подписки вручную. Один рефреш на клиенте и летим дальше. А Docker взял просто потому что захотел, надеюсь это достаточный аргумент.
Да, я готов положить на безопасность сервера и вот почему: Во-первых, я не видел пока, что банят серваки с торчащим SS. Режут на ТСПУ, это могут. Для этого у меня есть VLESS. Во-вторых, поднять и настроить новый сервак занимает 15 минут (засекал пока писал статью). В-третьих, я бедный, у меня нет денег держать парк виртуалок под каждый чих.
А вообще спасибо за толковый коммент
Это просто URL, с которого клиент построчно забирает конфиги для настройки. Если меняются настройки сервера, то должно меняться и содержимое файла. Вот так выглядит мой, за вычетом ключей:
vless://<URL>?security=reality&encryption=none&pbk=<pubkey>&headerType=none&fp=chrome&type=tcp&flow=xtls-rprx-vision&sni=example.com&sid=aabbccdd#Name_for_client
ss://<base64config>#Name_for_client
Разраб XTLS прямо на гитхабе не рекомендует пользоваться 3X-UI, так как подозревает их в сотрудничестве с иранскими службами.