Свежая идея. Но что же делать, если это уже был отдельный лог только с ошибками Авторизации именно для fail2ban? Ещё более как-то его настроить? Кстати, тоже пробовали. Писать только каждую десятую неудачную попытку, например. Помогло по началу, но «с той стороны» тоже не идиоты сидели.
Логи пишутся с ужасающей скоростью, демон начинает загребать и без того малодоступные ресурсы под себя, чтобы всё это распарсить, и в итоге помогает уложить сервер. Сразу скажу, я такое видел один раз только, но осадочек остался.
Есть обходные пути с запуском анализа логов и блокированием после достижения определённого лимита неудачных попыток аутентификации. Но это требует от приложений сообщать о таких событиях с минимальными накладными расходами, что не всегда возможно. Насколько я знаю, вменяемых альтернатив нет. Да и на мой взгляд если писать универсальное средство, то всё в итоге упирается в парсинг логов, что, мягко говоря, процесс небыстрый. Вот если бы был какой-то общепринятый стандарт сигнализации для приложений, но это была бы совсем другая вселенная.
Не бывает универсального. Точнее, есть — fail2ban — и оно плохо работает именно тогда, когда нужно, чтобы работало хорошо. Проблема глубже лежит к сожалению.
Первая проблема, мягко говоря, надумана. Но если такое действительно было, то надо по рукам надавать и программистам, и админу. Первым за разгильдяйство и свинарник, вторым — за использование файловых систем для локалхостов на проде.
С лок-файлами уже всё давно придумано за нас. flock (man 1 flock) достаточно умный. Грепать по списку процессов — вот где не умное решение. Вместе с неидемпотентными скриптами такой подход может произвести совершенно феерические спецэффекты.
И? Ну вот случилось это. Проснулся клон, который не осознаёт особенно, что он клон. А «оригинал» «умер». И что дальше? Что конкретно изменится для «клона»? К чему вообще эти попытки разделить на «я» и «не я»? Что изменится, если «оригинал» не умер? Ну, кроме некоторых неоднозначностей в законодательстве, но вот это как раз можно поправить. В общем, в чём суть проблемы наличия клонов? Особенно в контексте «Мы вас клонировали потому, что вы вчера попали под автобус, так кишки и шваркнули. Поздравляем с продолжением жизни, будьте осторожны при переходе улицы в следующий раз».
В долгосрочной перспективе слухи не сработают, нужно будет регулярно показательно кого-то пороть, при чём пороть только тех, кого нужно и не ошибаться. Грамотность и осмысленный выбор ПО — это одноразовые большие вложения и очень небольшие для поддержания в будущем. При чём вне зависимости от поворотов судьбы, общая компьютерная грамотность останется актуальной и с возможностью лёгкого апгрейда. Но формально ты прав, конечно, это не единственный выход. Можно просто вообще всё отключить от интернета. И от энергосети тоже на всякий случай. Вирусы для арифмометров и счёт не существуют.
Любые запретительные меры в итоге чаще приводят к тому, что сотрудники тратят больше времени для их обхода. Повышение компьютерной грамотности и отказ от патологически дырявого, принципиально непроверяемого сотрудниками отдела информационной безопасности ПО — это единственный действенный метод на текущий момент. Он же самый трудоёмкий.
Входит ли в зону интересов Project Zero так же уязвимости, связанные с несовершенством процессов внутри компаний; разных мнений о том, какую информацию считать приватной, а какую нет и прочие подобные цели атак при помощи так называемой «социальной инженерии»?
Гитхаб находится в юрисдикции США. Практически это значит, что репозитории и их копии с гитхаба могут исчезнуть в течение нескольких часов после получения судебного предписания, суть которого сводится к «Уберите это or else...». Не надо строить иллюзий, «басманные суды» не в России изобрели.
Судя по количеству минусов тут много экспертов по MS Outlook. Может быть тогда эксперты помогут прояснить некоторые особенно тормозящие работу моменты:
1. Как сделать фильтрацию на стороне сервера (это очень важно) для всех писем от адреса «sender1@*.domain.com», кроме поддоменов a.domain.com, b.domain.com и c.domain.com, где в заголовке есть подстрока «SUBSTRING_1», но нет подстроки «SUBSTRING_2» или «SUBSTRING_3»?
2. Как сделать автоматический ответ на письмо, с подстановкой в шаблон ответа вывода из внешней программы («c:\xakep_warez\curl.exe some.domain.com/something», например)? То же самое, но по нажатию на предопределённое сочетание клавиш. В худшем случае понадобится примерно 14 таких сочетаний, но пока что могу обойтись тремя.
3. Как использовать для редактирования писем внешний редактор?
4. Как искать письма посланные и/или полученные в пределах произвольного временного интервала?
5. Как искать письма, у которых в произвольном поле есть подстрока «SUBSTRING_1», от которой на расстоянии 0-3 слов есть подстрока «SUBSTRING_2»?
6. Как искать письма, у которых в произвольном поле есть целиком подстрока «WORD_1 WORD_2 NUMBER_1 WORD_3», но не все эти значения по отдельности? (Например, в поле Subject есть «I've got 99 problems», но при этом письма с «I've got 98 problems» или с «99 problems» без «I've got» не должны попасть в результат.
7. Как искать везде? То есть действительно везде: и во всех локальных хранилищах, и на сервере сразу.
8. Как выключить «We removed extra line breaks from this message»? Очень напрягает кликать на «Restore line breaks» на каждом втором письме.
Всё это относительно Outlook 2013 со всеми актуальными апдейтами. Что-то из этого необходимо каждый день, что-то реже, но тем не менее это вот основные претензии к отсутствующему функционалу, который успешно реализован в других местах. К огромному сожалению нет никакой возможности заменить Outlook на хорошую почтовую программу, иначе я бы не спрашивал. На мелочи типа зависаний и крахов при удалении 20к+ писем с сервера или переноса 30к+ писем с сервера в локальное хранилище жаловаться не буду, вряд ли такое кому-то в голову приходило тестировать.
1. Как сделать фильтрацию на стороне сервера (это очень важно) для всех писем от адреса «sender1@*.domain.com», кроме поддоменов a.domain.com, b.domain.com и c.domain.com, где в заголовке есть подстрока «SUBSTRING_1», но нет подстроки «SUBSTRING_2» или «SUBSTRING_3»?
2. Как сделать автоматический ответ на письмо, с подстановкой в шаблон ответа вывода из внешней программы («c:\xakep_warez\curl.exe some.domain.com/something», например)? То же самое, но по нажатию на предопределённое сочетание клавиш. В худшем случае понадобится примерно 14 таких сочетаний, но пока что могу обойтись тремя.
3. Как использовать для редактирования писем внешний редактор?
4. Как искать письма посланные и/или полученные в пределах произвольного временного интервала?
5. Как искать письма, у которых в произвольном поле есть подстрока «SUBSTRING_1», от которой на расстоянии 0-3 слов есть подстрока «SUBSTRING_2»?
6. Как искать письма, у которых в произвольном поле есть целиком подстрока «WORD_1 WORD_2 NUMBER_1 WORD_3», но не все эти значения по отдельности? (Например, в поле Subject есть «I've got 99 problems», но при этом письма с «I've got 98 problems» или с «99 problems» без «I've got» не должны попасть в результат.
7. Как искать везде? То есть действительно везде: и во всех локальных хранилищах, и на сервере сразу.
8. Как выключить «We removed extra line breaks from this message»? Очень напрягает кликать на «Restore line breaks» на каждом втором письме.
Всё это относительно Outlook 2013 со всеми актуальными апдейтами. Что-то из этого необходимо каждый день, что-то реже, но тем не менее это вот основные претензии к отсутствующему функционалу, который успешно реализован в других местах. К огромному сожалению нет никакой возможности заменить Outlook на хорошую почтовую программу, иначе я бы не спрашивал. На мелочи типа зависаний и крахов при удалении 20к+ писем с сервера или переноса 30к+ писем с сервера в локальное хранилище жаловаться не буду, вряд ли такое кому-то в голову приходило тестировать.