Чтобы каждый раз не проверять всё руками, обновления лучше автоматизировать. Например, cron-задачу, которая раз в сутки обновляет сигнатуры антивируса или проверяет список пакетов. Однако инструменты тут не так важны, как дисциплина.
Так автор поста говорит то, что не обновляется автоматически, на то сделать cron-задачу.
UFW это частный случай. Все равно функционал задания настроек ограничен, использую как временное решение, собираюсь заменить на nftables.
Ваш пост лучше бы смотрелся с конкретными проблемными местами систем битрикса. Описали в общем виде проблему, привели конкретный случай, разобрали ошибка, привели пример как следовало бы сделать. В противном случае появляются комментарии вида, например "автор просто не смог, и решил поныть об этом" от @cyber-jet
Для репрезентативности так же следует приводить источники из других ресурсов, посты Хабра не последняя инстанция в подобных вопросах.
Зря Вы написали в минусы продукта использование PHP. PHP это не матерное слово, много хороших систем написано на PHP. Единственная проблема PHP, это то, что он позволяет писать просто конченный говно-код, чем и скорее всего воспользовались создатели продуктов Bitrix, видимо такие у них программисты.
Есть реальные примеры из дистрибутивов, позиционирующих себя как стабильные?
А кто говорит про только дистрибутивы? У вас на VPS работает только дистрибутив и больше ничего? Автор поста говорит про все ПО работающее на VPS, включая прикладное, цитата из поста: "Любое ПО (ядро, пакеты, сервисы) имеет уязвимости, поэтому разработчики регулярно выпускают патчи при их обнаружении. Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.".
половина контейнеров работает из-под рута
Я безопасностью занимаюсь достаточно давно, и что-то не припомню массового взлома docker-контейнеров в которых главный процесс работает под root. Согласен, это неправильно с точки зрения информационной безопасности, создает лишние риски, но факт остается фактом, массового взлома нет.
докер любит настраивать разрешающие правила доступа к проброшенным портам в обход штатного файрвола
Есть конкретный пример? Я задаю правила через UFW и никаких проблем с приоритетом записей нет на хосте вместе с Docker. Docker контейнеры стандартно описаны в compose с обычным пробросом портов. Дополнительно на хосте работают различные VPS сервисы в Docker контейнерах, все работает штатно.
Ваш пост мне напомнил одну серию из Ералаша с замечательным артистом Панкратов-Черный, Ералаш №139 "Знаток"
Вот и ваш пост, вроде бы полезный, а с другой стороны полезность очень сомнительна, Америку не открыли, свежестью не пахнет от слова совсем, т.к. и так понятно, что делать. Весь вопрос в деталях и инструкциях.
Это гораздо лучше, если вы часто бываете в командировках. С любого устройства можете быстро войти просто введя пароль и код с телефона.
«Свежий» VDS важно держать в актуальном состоянии с первого дня
Обновления как раз таки необходимо выключать. Например, вы спите, сервак обновился, а программисты что-то там забыли обновить в новой версии ПО. И тут вам среди ночи звонок: И-и-и-игорь сервис упал. И вы, матерясь, бросаетесь проверять, что же случилось.
Обновлять нужно тогда, когда у вас есть возможность зарезервировать время на решение проблем после обновления.
Откровенно говоря, я не припомню атаки 0-дня на Linux системы, чего не скажешь про решения Microsoft, в особенности MS Exchange.
Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.
Не факт. Иногда в обновления пролезают новые уязвимости, от которых не сразу появляется защита. Тише едешь, дальше будешь.
Однако инструменты тут не так важны, как дисциплина.
Не совсем понятно, про какую дисциплину идет речь.
TLS не только шифрует данные, но и защищает от подмены контента — это критично для панелей управления и админок.
А как же VPN? Внутренние сервисы не обязательно светить наружу, можно просто ограничиться доступом через VPN и запускать по http без шифрования.
На уровне панели/крона можно настроить оповещения (например, почтовые уведомления о фатальных ошибках или выходе из строя сервисов).
Конкретные предложения для малых серверов без Zabbix, Prometheus+Alertmanager будут?
А как же запуск процессов с минимальными привилегиями, запрет выдачи прав доступа на каталоги и файлы всем подряд, и на конец использование Docker. Конечно же, сам по себе Docker не решает проблем, но некоторую изоляцию все же обеспечивает.
Хорошее руководство, спасибо. Схемы понятные, в наше время это уже признак элитарности. Вначале развертывал OpenHab, но он почему-то не видел топики. Посмотрел на чудо-юдо Home Assistant, который в виде docker контейнера занимает 2 ГБ, у меня хостинг не такой резиновый. Затем попробовал вашу связку с Grafana (только все на docker), запустилось с пол пинка, красотень. В качестве станции использовал ESP32, прошивка на C#, платформа nanoFramework.
А типы NDEF-записей не рассказывают как применять NFC метки? Представлен скриншот программы NFC Tools с типами NDEF-записей, коих 23 типа, этого тоже недостаточно для понимания? Заголовок отражает понятие применения NFC меток, дается описание стандартов, понятие типов записей, программы записи меток, и как собственно записывать, что отображается на экране. Ваши неверные ожидания, ваши проблемы, для Вас привожу контекст:
В Толковом словаре русского языка С.И. Ожегова слово "применение" имеет несколько значений, но в основном оно описывает действие, заключающееся в использовании чего-либо по назначению или в какой-либо цели.
Примеры использования слова "применение" в разных значениях:
"Применение лекарства" - в данном случае, "применение" означает действие по использованию лекарства.
Raspberry Pi вряд ли вытянет. Имел в виду запуск на кластере с ARM процессорами. У Firefly есть кластер CSR2-N72R3588S Cloud Phone Server на базе 72 процессоров RK3588S. Под ARM, Solana работает или нет?
Технические требования к валидатору Solana весьма немалые. Вы указали сетевой адаптер с пропускной способностью на 10 Гбит/сек, означает ли это наличие Интернет канала тоже в 10 Гбит/сек. Валидатор генерирует настолько много сетевого трафика?
Второй вопрос, при самом плохом раскладе, сколько составляет срок окупаемости проекта по развертыванию своего сервера валидатора Solana?
Третий вопрос, можно ли валидатор Solana запустить на кластере Raspberry Pi (архитектура ARM)?
Складывается такое ощущение, что вы пишите курсовую или дипломную работу. А где структура данных полученных с hh и superjobs?
По поводу многопоточности, у вас задача разделяется на две подзадачи. Первая, сбор данных. Вторая, предоставление доступа к данным, используя свое приложения web/desktop. Параллельный сбор данных на Python можно организовать путем запуска нескольких экземпляров сборщиков данных. Web-приложение прекрасно работает на Node.js и на других платформах. Настольное, на чем угодно, лишь бы работало бы с БД. В данной задаче C# не может предоставить того, чего другие языки/платформы не в состояние это сделать.
WPF предлагает глубокую интеграцию с ОС Windows
Расскажите, как вы глубоко интегрировали свое приложение в ОС Windows, что именно вы использовали
Ну да, конечно. Дизайнеры чушь нарисовали, а вы защищаете. На рисунке две ошибки, которые не позволяют это чудо признать пингвином. Это круглый клюв, круглый бывает например у тукана (в фас). И большое расстояние между глазами и как бы клювом. У пингвина глаза расположены близко к клюву. Вот и получается, что рисунок от MS воспринимается как клоун с желтым шариком, а манжетка как рот.
Не фейк, они WSL перевели в формат открытого кода. WSL оказался не настолько популярным, как этого хотела MS. Вполне возможно, WSL постигнет такая же участь как и WSA.
wsa просто никому нафиг не нужен. Они посмотрели, что им пользуются пару человек, соотнесли затраты, и приняли единственное правильное решение закрыть эту лавочку.
Но отсутствие в подобных использованной в данной статье моделях временнОй оси требует создания триггеров, стопов, коммитов, роллбаков и подобных ухищрений
Что-то я не понял проблемы. Есть диаграммы UML, позволяющие описывать сущности во времени. Так же можно использовать stateful database, добавлять временные метки.
У ноута за которым я работаю, тоже хватает нюансов. Lenovo Z500, накатываешь новую Windows, устанавливаешь родные драйвера на видео, а потом бац, и яркость экрана на 0%. Никакая регулировка никак не изменяет значения яркости. Решение заключается в правке реестра, необходимо включить параметр с интересным названием "FeatureTestControl". Перезагружаешь ноут, и проблема решена.
Так автор поста говорит то, что не обновляется автоматически, на то сделать cron-задачу.
UFW это частный случай. Все равно функционал задания настроек ограничен, использую как временное решение, собираюсь заменить на nftables.
Ваш пост лучше бы смотрелся с конкретными проблемными местами систем битрикса. Описали в общем виде проблему, привели конкретный случай, разобрали ошибка, привели пример как следовало бы сделать. В противном случае появляются комментарии вида, например "автор просто не смог, и решил поныть об этом" от @cyber-jet
Для репрезентативности так же следует приводить источники из других ресурсов, посты Хабра не последняя инстанция в подобных вопросах.
Зря Вы написали в минусы продукта использование PHP. PHP это не матерное слово, много хороших систем написано на PHP. Единственная проблема PHP, это то, что он позволяет писать просто конченный говно-код, чем и скорее всего воспользовались создатели продуктов Bitrix, видимо такие у них программисты.
А кто говорит про только дистрибутивы? У вас на VPS работает только дистрибутив и больше ничего? Автор поста говорит про все ПО работающее на VPS, включая прикладное, цитата из поста: "Любое ПО (ядро, пакеты, сервисы) имеет уязвимости, поэтому разработчики регулярно выпускают патчи при их обнаружении. Чем новее версия, тем сложнее злоумышленнику эксплуатировать баг.".
Я безопасностью занимаюсь достаточно давно, и что-то не припомню массового взлома docker-контейнеров в которых главный процесс работает под root. Согласен, это неправильно с точки зрения информационной безопасности, создает лишние риски, но факт остается фактом, массового взлома нет.
Есть конкретный пример? Я задаю правила через UFW и никаких проблем с приоритетом записей нет на хосте вместе с Docker. Docker контейнеры стандартно описаны в compose с обычным пробросом портов. Дополнительно на хосте работают различные VPS сервисы в Docker контейнерах, все работает штатно.
del
Ваш пост мне напомнил одну серию из Ералаша с замечательным артистом Панкратов-Черный, Ералаш №139 "Знаток"
Вот и ваш пост, вроде бы полезный, а с другой стороны полезность очень сомнительна, Америку не открыли, свежестью не пахнет от слова совсем, т.к. и так понятно, что делать. Весь вопрос в деталях и инструкциях.
Не факт. Пароль достаточно поставить на 8 символов и включить 2FA, например libpam-google-authenticator.
Это гораздо лучше, если вы часто бываете в командировках. С любого устройства можете быстро войти просто введя пароль и код с телефона.
Обновления как раз таки необходимо выключать. Например, вы спите, сервак обновился, а программисты что-то там забыли обновить в новой версии ПО. И тут вам среди ночи звонок: И-и-и-игорь сервис упал. И вы, матерясь, бросаетесь проверять, что же случилось.
Обновлять нужно тогда, когда у вас есть возможность зарезервировать время на решение проблем после обновления.
Откровенно говоря, я не припомню атаки 0-дня на Linux системы, чего не скажешь про решения Microsoft, в особенности MS Exchange.
Не факт. Иногда в обновления пролезают новые уязвимости, от которых не сразу появляется защита. Тише едешь, дальше будешь.
Не совсем понятно, про какую дисциплину идет речь.
А как же VPN? Внутренние сервисы не обязательно светить наружу, можно просто ограничиться доступом через VPN и запускать по http без шифрования.
Конкретные предложения для малых серверов без Zabbix, Prometheus+Alertmanager будут?
А как же запуск процессов с минимальными привилегиями, запрет выдачи прав доступа на каталоги и файлы всем подряд, и на конец использование Docker. Конечно же, сам по себе Docker не решает проблем, но некоторую изоляцию все же обеспечивает.
Хорошее руководство, спасибо. Схемы понятные, в наше время это уже признак элитарности. Вначале развертывал OpenHab, но он почему-то не видел топики. Посмотрел на чудо-юдо Home Assistant, который в виде docker контейнера занимает 2 ГБ, у меня хостинг не такой резиновый. Затем попробовал вашу связку с Grafana (только все на docker), запустилось с пол пинка, красотень. В качестве станции использовал ESP32, прошивка на C#, платформа nanoFramework.
Так допишите. Вы приходите в ресторан, заказываете бифштекс, а вам говорят, что его еще надо поймать.
А тут рыбу заворачивали. Кнопку опубликовать на Хабре нажимаете только когда статья готова, в противном случае это черновик.
А типы NDEF-записей не рассказывают как применять NFC метки? Представлен скриншот программы NFC Tools с типами NDEF-записей, коих 23 типа, этого тоже недостаточно для понимания? Заголовок отражает понятие применения NFC меток, дается описание стандартов, понятие типов записей, программы записи меток, и как собственно записывать, что отображается на экране. Ваши неверные ожидания, ваши проблемы, для Вас привожу контекст:
Примеры использования слова "применение" в разных значениях:
"Применение лекарства" - в данном случае, "применение" означает действие по использованию лекарства.
Raspberry Pi вряд ли вытянет. Имел в виду запуск на кластере с ARM процессорами. У Firefly есть кластер CSR2-N72R3588S Cloud Phone Server на базе 72 процессоров RK3588S. Под ARM, Solana работает или нет?
Технические требования к валидатору Solana весьма немалые. Вы указали сетевой адаптер с пропускной способностью на 10 Гбит/сек, означает ли это наличие Интернет канала тоже в 10 Гбит/сек. Валидатор генерирует настолько много сетевого трафика?
Второй вопрос, при самом плохом раскладе, сколько составляет срок окупаемости проекта по развертыванию своего сервера валидатора Solana?
Третий вопрос, можно ли валидатор Solana запустить на кластере Raspberry Pi (архитектура ARM)?
Складывается такое ощущение, что вы пишите курсовую или дипломную работу. А где структура данных полученных с hh и superjobs?
По поводу многопоточности, у вас задача разделяется на две подзадачи. Первая, сбор данных. Вторая, предоставление доступа к данным, используя свое приложения web/desktop. Параллельный сбор данных на Python можно организовать путем запуска нескольких экземпляров сборщиков данных. Web-приложение прекрасно работает на Node.js и на других платформах. Настольное, на чем угодно, лишь бы работало бы с БД. В данной задаче C# не может предоставить того, чего другие языки/платформы не в состояние это сделать.
Расскажите, как вы глубоко интегрировали свое приложение в ОС Windows, что именно вы использовали
MS сделала более тесную интеграцию с основной ОС Windows, в остальном ничем
Ну да, конечно. Дизайнеры чушь нарисовали, а вы защищаете. На рисунке две ошибки, которые не позволяют это чудо признать пингвином. Это круглый клюв, круглый бывает например у тукана (в фас). И большое расстояние между глазами и как бы клювом. У пингвина глаза расположены близко к клюву. Вот и получается, что рисунок от MS воспринимается как клоун с желтым шариком, а манжетка как рот.
Не фейк, они WSL перевели в формат открытого кода. WSL оказался не настолько популярным, как этого хотела MS. Вполне возможно, WSL постигнет такая же участь как и WSA.
wsa просто никому нафиг не нужен. Они посмотрели, что им пользуются пару человек, соотнесли затраты, и приняли единственное правильное решение закрыть эту лавочку.
Даже ChatGPT лучше справился
Пингвин по представлению компании Microsoft
Что-то я не понял проблемы. Есть диаграммы UML, позволяющие описывать сущности во времени. Так же можно использовать stateful database, добавлять временные метки.
Было только одно но, приходилось тыкать стилусом в экран
У ноута за которым я работаю, тоже хватает нюансов. Lenovo Z500, накатываешь новую Windows, устанавливаешь родные драйвера на видео, а потом бац, и яркость экрана на 0%. Никакая регулировка никак не изменяет значения яркости. Решение заключается в правке реестра, необходимо включить параметр с интересным названием "FeatureTestControl". Перезагружаешь ноут, и проблема решена.
Зато посмотрите какое бурное осуждение. Решений пока нет, может они есть у вас?