Вы немного не поняли / я неточно выразился: я говорил про необходимость прописывать UUID'ами, а раз а вас именно так и прописано, то проблема не в этом.
не хочет грузится с HDD при подключенных USB 3G модемах
Cам когда-то ковырял Huawei'ный свисток E1550 и точно помню, что у него есть встроенная память память, на которой лежит софт + autorun.inf (домохозяйка edition)
Так вот, если у Вас подобная ситуация, то отключив этот раздел, возможно, решите проблему.
З.Ы.: в /etc/fstab монтируемые разделы прописаны UUID'ами или как "/dev/sdX" (ну мало-ли...)?
В офис приезжает важный по какой-то причине человек, который подстёгивается в вафле, и начинает работать с серверами из Вашей локалки и ходить наружу (почта, скайпик, vpn'ы, ...) чтобы быть и здесь, и там.
В это же время какой-то заражённый клиент или просто нехороший человек начинает брутфорсить, допустим, web-ресурс одного из серверов.
По правилам хорошего тона на этом сервере сработает fail2ban, но заблокриует не IP брутфорсера, а IP шлюза… В итоге — все за wifi «отрезаны» от web-ресурса, а важный гость негодует и жалуется Вашему начальнику.
Не могу говорить за Вас, но в моём случае могла бы иметь место попоболь…
Ну, а если никаких мер не принимать (не бороться с брутфорсером) — кто знает какие методы он пользует?.. Может ведь и проломить «стену»…
В общем, я ни кого не заставляю принимать мою точку зрения, но и не мной было придумано понятие DMZ.
Как говорится, каждый сам выбирает методы защиты, а потОм — лекарства, для залечивания ран :)
Вы в курсе, что тогда сервера будут видеть один и тот же адрес от всех клиентов — адрес шлюза? Думаю, что не нужно объяснять чем это плохо с точки зрения безопасность (выявления вредителя, находящегося в той же подсети).
Правильнее всего вынести сервара в dmz-зону (отдельную подсеть), тогда и лишний раз nat'ить не нужно, и фаерволить проще.
Писать нужно тем, кто занимается разработкой модуля ядра под линь, а не алсой. Именно модули ядра баюкают и будят девайсы (знаю не по наслышке, т.к. менял политику гибернации вафли в домашнем ноуте именно добавлением параметров к модулю ядра оной).
В данном случае нужно багрепортить риалтековцам + (ИМХО) не помешает дебиановцам отписать
Не исключаю варианта, что проблема ещё может быть в модуле ядра, который что-то не делает при старте, чтобы «разбудить звуковой контроллер». Вот и имеем:
выньдовые драйвера присыпают контроллер при тушении windows и будят при включении, но если грузиться в никсы, то модуль не делает этого…
как вариант — L7-фильтры ( goo.gl/ZFAEyy ), но тут опять встаёт два вопроса:
— производительность, т.к. анализ принадлежности трафика основан на анализе содержимого пакетов
— качество точности определения типа трафика
можно загнать в address-list (например, local-servers) адреса серверов, на которые нужно попадать с wi-fi и положить правило, пропускающее пакеты с dst-address-list равным local-servers, до правила с DROP'ом
По сабжу:
Пользуюсь в основном лисой, но редко и chromium'ом (Debian GNU/Linux).
Дочитав топик, не выдержал и полез проверять: даже в голову не пришло, что в нём может быть такая недоработка. Я аж подвис минуты на две в попытках понять, с чем это может быть связано… Так и не придумал
Позволю себе поянить смысл моего первого комментария с цитатой Алана Кокса:
LXC в chroot не превратится хотя бы потому, что в lxc изоляция происходит на уровне ядра, что даёт меньше шансов выбраться за пределы контейнера, нежели за пределы chroot'а
Так же LXC позволяет влиять на потребление ресурсов контейнерами (cpu, ram, ...), изолировать пространство процессов, сетевой стек…
В общем, chroot'у до LXC ой как далеко, даже если LXC сильно-сильно «сконфигурировать» :)
На закуску из man'а chroot'а:
This call does not change the current working directory, so that after the call '.' can be outside the tree rooted at '/'. In particular, the superuser can escape from a «chroot jail» by doing:
mkdir foo; chroot foo; cd…
This call does not close open file descriptors, and such file descriptors may allow access to files outside the chroot tree.
$ man fakeroot
…
Fakeroot runs a command in an environment wherein it appears to have root privileges for file manipulation. This is useful for allowing users to create archives (tar, ar, .deb etc.) with files in them with root permissions/ownership.
…
И какой будет оверхед от использования этих библиотек для поддержки мультиплатформенности? Ведь, именно отсутствие оного и является во многих случаях ключевым фактором при выборе.
Плюс ко всему wine и cygwin со своими ограничениями и рядом не валялись с системами виртуализации.
В общем, я понял Вашу мысль запуска в win-контейнере чего-либо через cygwin или в lin-котейнере — через wine, но лично меня эти варианты абсолютно не привлекают, т.к. имел дело и с одним, и с другим…
Для себя сделал вывод, что эти библиотеки подходят только для чего-то более-менее несложно-домашнего.
Вы немного не поняли / я неточно выразился: я говорил про необходимость прописывать UUID'ами, а раз а вас именно так и прописано, то проблема не в этом.
Cам когда-то ковырял Huawei'ный свисток E1550 и точно помню, что у него есть встроенная память память, на которой лежит софт + autorun.inf (домохозяйка edition)
Так вот, если у Вас подобная ситуация, то отключив этот раздел, возможно, решите проблему.
З.Ы.: в /etc/fstab монтируемые разделы прописаны UUID'ами или как "/dev/sdX" (ну мало-ли...)?
З.Ы.: Судя по Вашему комментарию ниже (с ответом Gigabyt'овцев), явно не они.
UPD: Вопрос снимается… Был невнимателен и не прочитал апдейты в конце статьи. Прошу прощения
В офис приезжает важный по какой-то причине человек, который подстёгивается в вафле, и начинает работать с серверами из Вашей локалки и ходить наружу (почта, скайпик, vpn'ы, ...) чтобы быть и здесь, и там.
В это же время какой-то заражённый клиент или просто нехороший человек начинает брутфорсить, допустим, web-ресурс одного из серверов.
По правилам хорошего тона на этом сервере сработает fail2ban, но заблокриует не IP брутфорсера, а IP шлюза… В итоге — все за wifi «отрезаны» от web-ресурса, а важный гость негодует и жалуется Вашему начальнику.
Не могу говорить за Вас, но в моём случае могла бы иметь место попоболь…
Ну, а если никаких мер не принимать (не бороться с брутфорсером) — кто знает какие методы он пользует?.. Может ведь и проломить «стену»…
В общем, я ни кого не заставляю принимать мою точку зрения, но и не мной было придумано понятие DMZ.
Как говорится, каждый сам выбирает методы защиты, а потОм — лекарства, для залечивания ран :)
Правильнее всего вынести сервара в dmz-зону (отдельную подсеть), тогда и лишний раз nat'ить не нужно, и фаерволить проще.
В данном случае нужно багрепортить риалтековцам + (ИМХО) не помешает дебиановцам отписать
выньдовые драйвера присыпают контроллер при тушении windows и будят при включении, но если грузиться в никсы, то модуль не делает этого…
— производительность, т.к. анализ принадлежности трафика основан на анализе содержимого пакетов
— качество точности определения типа трафика
а зачем sql-файлу execution-бит?
Пользуюсь в основном лисой, но редко и chromium'ом (Debian GNU/Linux).
Дочитав топик, не выдержал и полез проверять: даже в голову не пришло, что в нём может быть такая недоработка. Я аж подвис минуты на две в попытках понять, с чем это может быть связано… Так и не придумал
LXC в chroot не превратится хотя бы потому, что в lxc изоляция происходит на уровне ядра, что даёт меньше шансов выбраться за пределы контейнера, нежели за пределы chroot'а
Так же LXC позволяет влиять на потребление ресурсов контейнерами (cpu, ram, ...), изолировать пространство процессов, сетевой стек…
В общем, chroot'у до LXC ой как далеко, даже если LXC сильно-сильно «сконфигурировать» :)
На закуску из man'а chroot'а:
This call does not change the current working directory, so that after the call '.' can be outside the tree rooted at '/'. In particular, the superuser can escape from a «chroot jail» by doing:
mkdir foo; chroot foo; cd…
This call does not close open file descriptors, and such file descriptors may allow access to files outside the chroot tree.
…
Fakeroot runs a command in an environment wherein it appears to have root privileges for file manipulation. This is useful for allowing users to create archives (tar, ar, .deb etc.) with files in them with root permissions/ownership.
…
Ещё варианты? :)
Не уверен, что с LXC такое прокатит…
Плюс ко всему wine и cygwin со своими ограничениями и рядом не валялись с системами виртуализации.
В общем, я понял Вашу мысль запуска в win-контейнере чего-либо через cygwin или в lin-котейнере — через wine, но лично меня эти варианты абсолютно не привлекают, т.к. имел дело и с одним, и с другим…
Для себя сделал вывод, что эти библиотеки подходят только для чего-то более-менее несложно-домашнего.