Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.
Новая версия ПО, новые баги и уязвимости. Еще не факт, что новая версия надежнее предыдущей. Если на дворе были бы 2000-е годы, да, я согласился бы с вами. Но сейчас многое разработчики в погоне за фичами часто кладут на детальное тестирование, потому что хорошее тестирование увеличивает сроки выхода новой версии. Вот мы и имеем тяп-ляп, и в продакшен. Далеко ходить не будем, не из мира VDS, но все же. При Стиве Джобса тако не было: Пользователи Samsung массово жалуются на превращение своих телефонов в «кирпич» после установки обновления One UI 8.
Уже который раз авторы в блоге RUVDS не понимают что пишут. Смешали в одну кучу обновления ПО и антивирусных сигнатур. Такое ощущение, что делали перевод с английского и ничего не поняли.
Пример:
Например, cron-задачу, которая раз в сутки обновляет сигнатуры антивируса или проверяет список пакетов.
Чего проверяется список пакетов? Каких пакетов? Зачем проверять пакеты, они загружены из не доверенных источников?
У меня ни на одном VPS вообще нет антивируса. Только ClamAV сидит на проверки входящей почты.
Я не зря привел в пример ролик "Знаток", вроде бы все по делу, а с другой стороны нет ясности и конкретных примеров как делать и почему.
Если идет речь про мобильные телефоны, то темная тема может быть более предпочтительнее светлой из-за отстойного качества экрана устройства. Например, на всех телефонах Realme установлены ужасные матрицы, темная тема позволяет немного это компенсировать, на светлой теме глаза очень сильно устают. Другой пример, если брать приложение 2gis, то в темной теме днем вообще ничего не разглядишь, даже ночью все равно использую светлую тему. На мой взгляд фанатизма нет, просто есть разные обстоятельства, начиная от качества матрицы, компоновки и дизайна интерфейса, заканчивая физиологическими особенностями человека, которые влияют на выбор темной или светлой темы.
Легко, если сервер достаточно производительный и нет никаких ограничений на brute-force. Но на практике атакующие машины подбирают пароль с существенно меньшей скоростью дабы сильно не светиться. Потому что можно нарваться на бан уже от хостера. Пост на тему brute-force ssh опубликую в ближайшее время, собрал небольшую статистику. Как опубликую, отправлю Вам ссылку на пост.
Чтобы каждый раз не проверять всё руками, обновления лучше автоматизировать. Например, cron-задачу, которая раз в сутки обновляет сигнатуры антивируса или проверяет список пакетов. Однако инструменты тут не так важны, как дисциплина.
Так автор поста говорит то, что не обновляется автоматически, на то сделать cron-задачу.
UFW это частный случай. Все равно функционал задания настроек ограничен, использую как временное решение, собираюсь заменить на nftables.
Ваш пост лучше бы смотрелся с конкретными проблемными местами систем битрикса. Описали в общем виде проблему, привели конкретный случай, разобрали ошибка, привели пример как следовало бы сделать. В противном случае появляются комментарии вида, например "автор просто не смог, и решил поныть об этом" от @cyber-jet
Для репрезентативности так же следует приводить источники из других ресурсов, посты Хабра не последняя инстанция в подобных вопросах.
Зря Вы написали в минусы продукта использование PHP. PHP это не матерное слово, много хороших систем написано на PHP. Единственная проблема PHP, это то, что он позволяет писать просто конченный говно-код, чем и скорее всего воспользовались создатели продуктов Bitrix, видимо такие у них программисты.
Есть реальные примеры из дистрибутивов, позиционирующих себя как стабильные?
А кто говорит про только дистрибутивы? У вас на VPS работает только дистрибутив и больше ничего? Автор поста говорит про все ПО работающее на VPS, включая прикладное, цитата из поста: "Любое ПО (ядро, пакеты, сервисы) имеет уязвимости, поэтому разработчики регулярно выпускают патчи при их обнаружении. Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.".
половина контейнеров работает из-под рута
Я безопасностью занимаюсь достаточно давно, и что-то не припомню массового взлома docker-контейнеров в которых главный процесс работает под root. Согласен, это неправильно с точки зрения информационной безопасности, создает лишние риски, но факт остается фактом, массового взлома нет.
докер любит настраивать разрешающие правила доступа к проброшенным портам в обход штатного файрвола
Есть конкретный пример? Я задаю правила через UFW и никаких проблем с приоритетом записей нет на хосте вместе с Docker. Docker контейнеры стандартно описаны в compose с обычным пробросом портов. Дополнительно на хосте работают различные VPS сервисы в Docker контейнерах, все работает штатно.
Ваш пост мне напомнил одну серию из Ералаша с замечательным артистом Панкратов-Черный, Ералаш №139 "Знаток"
Вот и ваш пост, вроде бы полезный, а с другой стороны полезность очень сомнительна, Америку не открыли, свежестью не пахнет от слова совсем, т.к. и так понятно, что делать. Весь вопрос в деталях и инструкциях.
Это гораздо лучше, если вы часто бываете в командировках. С любого устройства можете быстро войти просто введя пароль и код с телефона.
«Свежий» VDS важно держать в актуальном состоянии с первого дня
Обновления как раз таки необходимо выключать. Например, вы спите, сервак обновился, а программисты что-то там забыли обновить в новой версии ПО. И тут вам среди ночи звонок: И-и-и-игорь сервис упал. И вы, матерясь, бросаетесь проверять, что же случилось.
Обновлять нужно тогда, когда у вас есть возможность зарезервировать время на решение проблем после обновления.
Откровенно говоря, я не припомню атаки 0-дня на Linux системы, чего не скажешь про решения Microsoft, в особенности MS Exchange.
Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.
Не факт. Иногда в обновления пролезают новые уязвимости, от которых не сразу появляется защита. Тише едешь, дальше будешь.
Однако инструменты тут не так важны, как дисциплина.
Не совсем понятно, про какую дисциплину идет речь.
TLS не только шифрует данные, но и защищает от подмены контента — это критично для панелей управления и админок.
А как же VPN? Внутренние сервисы не обязательно светить наружу, можно просто ограничиться доступом через VPN и запускать по http без шифрования.
На уровне панели/крона можно настроить оповещения (например, почтовые уведомления о фатальных ошибках или выходе из строя сервисов).
Конкретные предложения для малых серверов без Zabbix, Prometheus+Alertmanager будут?
А как же запуск процессов с минимальными привилегиями, запрет выдачи прав доступа на каталоги и файлы всем подряд, и на конец использование Docker. Конечно же, сам по себе Docker не решает проблем, но некоторую изоляцию все же обеспечивает.
Хорошее руководство, спасибо. Схемы понятные, в наше время это уже признак элитарности. Вначале развертывал OpenHab, но он почему-то не видел топики. Посмотрел на чудо-юдо Home Assistant, который в виде docker контейнера занимает 2 ГБ, у меня хостинг не такой резиновый. Затем попробовал вашу связку с Grafana (только все на docker), запустилось с пол пинка, красотень. В качестве станции использовал ESP32, прошивка на C#, платформа nanoFramework.
А типы NDEF-записей не рассказывают как применять NFC метки? Представлен скриншот программы NFC Tools с типами NDEF-записей, коих 23 типа, этого тоже недостаточно для понимания? Заголовок отражает понятие применения NFC меток, дается описание стандартов, понятие типов записей, программы записи меток, и как собственно записывать, что отображается на экране. Ваши неверные ожидания, ваши проблемы, для Вас привожу контекст:
В Толковом словаре русского языка С.И. Ожегова слово "применение" имеет несколько значений, но в основном оно описывает действие, заключающееся в использовании чего-либо по назначению или в какой-либо цели.
Примеры использования слова "применение" в разных значениях:
"Применение лекарства" - в данном случае, "применение" означает действие по использованию лекарства.
Raspberry Pi вряд ли вытянет. Имел в виду запуск на кластере с ARM процессорами. У Firefly есть кластер CSR2-N72R3588S Cloud Phone Server на базе 72 процессоров RK3588S. Под ARM, Solana работает или нет?
Технические требования к валидатору Solana весьма немалые. Вы указали сетевой адаптер с пропускной способностью на 10 Гбит/сек, означает ли это наличие Интернет канала тоже в 10 Гбит/сек. Валидатор генерирует настолько много сетевого трафика?
Второй вопрос, при самом плохом раскладе, сколько составляет срок окупаемости проекта по развертыванию своего сервера валидатора Solana?
Третий вопрос, можно ли валидатор Solana запустить на кластере Raspberry Pi (архитектура ARM)?
Складывается такое ощущение, что вы пишите курсовую или дипломную работу. А где структура данных полученных с hh и superjobs?
По поводу многопоточности, у вас задача разделяется на две подзадачи. Первая, сбор данных. Вторая, предоставление доступа к данным, используя свое приложения web/desktop. Параллельный сбор данных на Python можно организовать путем запуска нескольких экземпляров сборщиков данных. Web-приложение прекрасно работает на Node.js и на других платформах. Настольное, на чем угодно, лишь бы работало бы с БД. В данной задаче C# не может предоставить того, чего другие языки/платформы не в состояние это сделать.
WPF предлагает глубокую интеграцию с ОС Windows
Расскажите, как вы глубоко интегрировали свое приложение в ОС Windows, что именно вы использовали
Ну да, конечно. Дизайнеры чушь нарисовали, а вы защищаете. На рисунке две ошибки, которые не позволяют это чудо признать пингвином. Это круглый клюв, круглый бывает например у тукана (в фас). И большое расстояние между глазами и как бы клювом. У пингвина глаза расположены близко к клюву. Вот и получается, что рисунок от MS воспринимается как клоун с желтым шариком, а манжетка как рот.
Не фейк, они WSL перевели в формат открытого кода. WSL оказался не настолько популярным, как этого хотела MS. Вполне возможно, WSL постигнет такая же участь как и WSA.
wsa просто никому нафиг не нужен. Они посмотрели, что им пользуются пару человек, соотнесли затраты, и приняли единственное правильное решение закрыть эту лавочку.
А это вы снова пропускаете промеж глаз?
Новая версия ПО, новые баги и уязвимости. Еще не факт, что новая версия надежнее предыдущей. Если на дворе были бы 2000-е годы, да, я согласился бы с вами. Но сейчас многое разработчики в погоне за фичами часто кладут на детальное тестирование, потому что хорошее тестирование увеличивает сроки выхода новой версии. Вот мы и имеем тяп-ляп, и в продакшен. Далеко ходить не будем, не из мира VDS, но все же. При Стиве Джобса тако не было: Пользователи Samsung массово жалуются на превращение своих телефонов в «кирпич» после установки обновления One UI 8.
Уже который раз авторы в блоге RUVDS не понимают что пишут. Смешали в одну кучу обновления ПО и антивирусных сигнатур. Такое ощущение, что делали перевод с английского и ничего не поняли.
Пример:
Чего проверяется список пакетов? Каких пакетов? Зачем проверять пакеты, они загружены из не доверенных источников?
У меня ни на одном VPS вообще нет антивируса. Только ClamAV сидит на проверки входящей почты.
Я не зря привел в пример ролик "Знаток", вроде бы все по делу, а с другой стороны нет ясности и конкретных примеров как делать и почему.
Интересная зависимость. Еще бы собрать статистику в разрезе использование матриц и широты нахождения пользователя.
Если идет речь про мобильные телефоны, то темная тема может быть более предпочтительнее светлой из-за отстойного качества экрана устройства. Например, на всех телефонах Realme установлены ужасные матрицы, темная тема позволяет немного это компенсировать, на светлой теме глаза очень сильно устают. Другой пример, если брать приложение 2gis, то в темной теме днем вообще ничего не разглядишь, даже ночью все равно использую светлую тему. На мой взгляд фанатизма нет, просто есть разные обстоятельства, начиная от качества матрицы, компоновки и дизайна интерфейса, заканчивая физиологическими особенностями человека, которые влияют на выбор темной или светлой темы.
Легко, если сервер достаточно производительный и нет никаких ограничений на brute-force. Но на практике атакующие машины подбирают пароль с существенно меньшей скоростью дабы сильно не светиться. Потому что можно нарваться на бан уже от хостера. Пост на тему brute-force ssh опубликую в ближайшее время, собрал небольшую статистику. Как опубликую, отправлю Вам ссылку на пост.
Так автор поста говорит то, что не обновляется автоматически, на то сделать cron-задачу.
UFW это частный случай. Все равно функционал задания настроек ограничен, использую как временное решение, собираюсь заменить на nftables.
Ваш пост лучше бы смотрелся с конкретными проблемными местами систем битрикса. Описали в общем виде проблему, привели конкретный случай, разобрали ошибка, привели пример как следовало бы сделать. В противном случае появляются комментарии вида, например "автор просто не смог, и решил поныть об этом" от @cyber-jet
Для репрезентативности так же следует приводить источники из других ресурсов, посты Хабра не последняя инстанция в подобных вопросах.
Зря Вы написали в минусы продукта использование PHP. PHP это не матерное слово, много хороших систем написано на PHP. Единственная проблема PHP, это то, что он позволяет писать просто конченный говно-код, чем и скорее всего воспользовались создатели продуктов Bitrix, видимо такие у них программисты.
А кто говорит про только дистрибутивы? У вас на VPS работает только дистрибутив и больше ничего? Автор поста говорит про все ПО работающее на VPS, включая прикладное, цитата из поста: "Любое ПО (ядро, пакеты, сервисы) имеет уязвимости, поэтому разработчики регулярно выпускают патчи при их обнаружении. Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.".
Я безопасностью занимаюсь достаточно давно, и что-то не припомню массового взлома docker-контейнеров в которых главный процесс работает под root. Согласен, это неправильно с точки зрения информационной безопасности, создает лишние риски, но факт остается фактом, массового взлома нет.
Есть конкретный пример? Я задаю правила через UFW и никаких проблем с приоритетом записей нет на хосте вместе с Docker. Docker контейнеры стандартно описаны в compose с обычным пробросом портов. Дополнительно на хосте работают различные VPS сервисы в Docker контейнерах, все работает штатно.
del
Ваш пост мне напомнил одну серию из Ералаша с замечательным артистом Панкратов-Черный, Ералаш №139 "Знаток"
Вот и ваш пост, вроде бы полезный, а с другой стороны полезность очень сомнительна, Америку не открыли, свежестью не пахнет от слова совсем, т.к. и так понятно, что делать. Весь вопрос в деталях и инструкциях.
Не факт. Пароль достаточно поставить на 8 символов и включить 2FA, например libpam-google-authenticator.
Это гораздо лучше, если вы часто бываете в командировках. С любого устройства можете быстро войти просто введя пароль и код с телефона.
Обновления как раз таки необходимо выключать. Например, вы спите, сервак обновился, а программисты что-то там забыли обновить в новой версии ПО. И тут вам среди ночи звонок: И-и-и-игорь сервис упал. И вы, матерясь, бросаетесь проверять, что же случилось.
Обновлять нужно тогда, когда у вас есть возможность зарезервировать время на решение проблем после обновления.
Откровенно говоря, я не припомню атаки 0-дня на Linux системы, чего не скажешь про решения Microsoft, в особенности MS Exchange.
Не факт. Иногда в обновления пролезают новые уязвимости, от которых не сразу появляется защита. Тише едешь, дальше будешь.
Не совсем понятно, про какую дисциплину идет речь.
А как же VPN? Внутренние сервисы не обязательно светить наружу, можно просто ограничиться доступом через VPN и запускать по http без шифрования.
Конкретные предложения для малых серверов без Zabbix, Prometheus+Alertmanager будут?
А как же запуск процессов с минимальными привилегиями, запрет выдачи прав доступа на каталоги и файлы всем подряд, и на конец использование Docker. Конечно же, сам по себе Docker не решает проблем, но некоторую изоляцию все же обеспечивает.
Хорошее руководство, спасибо. Схемы понятные, в наше время это уже признак элитарности. Вначале развертывал OpenHab, но он почему-то не видел топики. Посмотрел на чудо-юдо Home Assistant, который в виде docker контейнера занимает 2 ГБ, у меня хостинг не такой резиновый. Затем попробовал вашу связку с Grafana (только все на docker), запустилось с пол пинка, красотень. В качестве станции использовал ESP32, прошивка на C#, платформа nanoFramework.
Так допишите. Вы приходите в ресторан, заказываете бифштекс, а вам говорят, что его еще надо поймать.
А тут рыбу заворачивали. Кнопку опубликовать на Хабре нажимаете только когда статья готова, в противном случае это черновик.
А типы NDEF-записей не рассказывают как применять NFC метки? Представлен скриншот программы NFC Tools с типами NDEF-записей, коих 23 типа, этого тоже недостаточно для понимания? Заголовок отражает понятие применения NFC меток, дается описание стандартов, понятие типов записей, программы записи меток, и как собственно записывать, что отображается на экране. Ваши неверные ожидания, ваши проблемы, для Вас привожу контекст:
Примеры использования слова "применение" в разных значениях:
"Применение лекарства" - в данном случае, "применение" означает действие по использованию лекарства.
Raspberry Pi вряд ли вытянет. Имел в виду запуск на кластере с ARM процессорами. У Firefly есть кластер CSR2-N72R3588S Cloud Phone Server на базе 72 процессоров RK3588S. Под ARM, Solana работает или нет?
Технические требования к валидатору Solana весьма немалые. Вы указали сетевой адаптер с пропускной способностью на 10 Гбит/сек, означает ли это наличие Интернет канала тоже в 10 Гбит/сек. Валидатор генерирует настолько много сетевого трафика?
Второй вопрос, при самом плохом раскладе, сколько составляет срок окупаемости проекта по развертыванию своего сервера валидатора Solana?
Третий вопрос, можно ли валидатор Solana запустить на кластере Raspberry Pi (архитектура ARM)?
Складывается такое ощущение, что вы пишите курсовую или дипломную работу. А где структура данных полученных с hh и superjobs?
По поводу многопоточности, у вас задача разделяется на две подзадачи. Первая, сбор данных. Вторая, предоставление доступа к данным, используя свое приложения web/desktop. Параллельный сбор данных на Python можно организовать путем запуска нескольких экземпляров сборщиков данных. Web-приложение прекрасно работает на Node.js и на других платформах. Настольное, на чем угодно, лишь бы работало бы с БД. В данной задаче C# не может предоставить того, чего другие языки/платформы не в состояние это сделать.
Расскажите, как вы глубоко интегрировали свое приложение в ОС Windows, что именно вы использовали
MS сделала более тесную интеграцию с основной ОС Windows, в остальном ничем
Ну да, конечно. Дизайнеры чушь нарисовали, а вы защищаете. На рисунке две ошибки, которые не позволяют это чудо признать пингвином. Это круглый клюв, круглый бывает например у тукана (в фас). И большое расстояние между глазами и как бы клювом. У пингвина глаза расположены близко к клюву. Вот и получается, что рисунок от MS воспринимается как клоун с желтым шариком, а манжетка как рот.
Не фейк, они WSL перевели в формат открытого кода. WSL оказался не настолько популярным, как этого хотела MS. Вполне возможно, WSL постигнет такая же участь как и WSA.
wsa просто никому нафиг не нужен. Они посмотрели, что им пользуются пару человек, соотнесли затраты, и приняли единственное правильное решение закрыть эту лавочку.
Даже ChatGPT лучше справился
Пингвин по представлению компании Microsoft