Более чем исчерпывающе ответили тут
От души благодарен за такой развёрнутый и понятный ответ.
Теперь вам расскажу более жуткую страшилку. Привилегированные доступы к системе сильно не нужны. Иногда совсем. Что мы обычно имеем на рабочем сервере? Процесс или несколько целевых процессов работающих в сеансе некого пользователя (не могу подобрать подходящего слова, буду благодарен, если поправите мою мысль более точно). Получая доступ к этому пространству, получаете доступ ко всем переменным, объявленных в нём (команда printenv). А что у нас там? Там обычно параметры подключения к базе данных, хранилищам, сторонним сервисам и многое к чему.
Дальше не хочется фантазировать.
1 Совсем не обязательно вести атаку на целевой сервис и заниматься его компроментацией. Можно пойти с другой стороны и устроить DOS стороннего сервиса. Что у OpenVPN защитой от атак на отказ в обслуживании?
2 Не стоит думать, что OpenVPN безгрешен и не содержит уязвимостей.
3 Есть другой неприятный момент. Он не частый, но бывали случаи и люди на нём накалывались: некоторые провайдеры непонятно по какой такой блажи блокируют этот тоннель. Поэтому есть мануалы, как закосить под HTTPS, работая по OpenVPN.
Ещё надо иметь в виду, что некоторые провайдеры последней мили блокируют в своих сетях практически весь трафик UPD (сталкивался неоднократно). В настройках скрипта по умолчанию как раз идёт UDP. Но это не замечание, а просто личный опыт.
Есть мнение, что разрабатывали программисты для программистов.
Если нужно разграничить права доступа — есть Docker, виртуалки, доступ через Веб-интерфейс и подобные технологии.
Для разграничения прав доступа применяется дискреционная или мандатная система разграничения прав доступа. Виртуализация, контейнеризация это немного про другое.
Начали хорошо. Но зачем ему давать привилегии sudo? Нужен пример? Пожалуйста: через уязвимости злоумышленник получил возможность удалённого выполнения кода от нашего нерутового пользователя. Хорошо, если он просто начал запускать свой скрипт, хотя хорошего в этом мало. Но он может пойти дальше и устроить локальный брутфорс пароля нерутового пользователя. Если у него получится его раздобыть, то дальше у него полностью развязываются руки.
Ключи вместо паролей SSH
Дельное предложение. Только лучше использовать более продвинутый вариант с ключом на основе эллиптических кривых
ssh-keygen -t ed25519 -C "<comment>"
Fail2Ban
Не помню, чтобы он особенно помогал при атаках. Да, блокирует адреса при некоторых атаках, только при этом может отнять порядочное количество ресурсов, что его эффективность становится под вопросом. При неумелом использовании может вообще заблокировать систему от любого внешнего трафика и тогда начинается уже отдельное веселье.
Автоматические обновления безопасности
Вообще это правильно называется автоматическая установка обновлений. И не всегда эти обновления связаны с безопасностью и не всегда обновления не приносят новых уязвимостей. Некоторые обновления могут приводить к перезапуску того или иного сервиса, а ещё могут вызывать конфликты с другими приложениями. С этим надо быть осторожней.
Смена портов по умолчанию
Помогает от тупых ботов, но есть продвинутые, которые, находя открытый порт, начинают проверять его на те или иные ответы. Поэтому лучше использовать более продвинутые методы защиты.
Судя по количеству фур на дорогах, у нас грузовые поезда уже устранены
Полезные ископаемые: нефть, газ, уголь, руду по дорогам сильно не повозишь. Наливной состав везёт около 2000-3000 тонн. Автотранспортом такое будет проблематично перевезти.
под Сапсан рельсы менялись
рельсовое хозяйство полностью, спрямлялись некоторые участки путей, изменения коснулись и других «дистанций пути» (так на ЖД службы именуются).
проложить рядом новые было бы не в разы дороже
очень и очень дорого. Километр электрофицированной двухпутки стоит баснословных денег (в начале 2000-х по некоторым данным цена километра начиналась от 1 млрд. руб).
то тот же managed MySQL или даже k8s можно на рынке приобрести без всяких облаков
а чтобы всё было разнесено по разным ДЦ и с гарантированной отказоустойчивостью, чтобы автоматическое масштабирование ресурсов без остановки баз данных, чтобы инфраструктуру можно было просто описать политиками Terraform или Ansible, логирование, мониторинг, алертинг?
Там есть различные программы по заказу ресурсов вплоть до заказа в кредит.
А к обычным DS/VDS часть из этого вообще бесплатно выдают.
На обычных DS/VDS придётся самостоятельно пилить инфраструктуру, обеспечивать её сетевую связность, организовывать политики распределения доступа к ресурсам и многое другое.
Считать, что AWS — это виртуалки, хранилище S3 и базы RDS, суть основное заблуждение. Там ещё много чего, даже описывать долго. И когда стоит задача обеспечить высокие надёжность, доступность, масштабируемость и безопасность, начинаешь собирать ещё до кучи: DNS, почту, маршрутизацию, балансировщик, CDN, мониторинг, алертинг; как-то приводить это к удобному для управления и автоматизации состояния, тогда понимаешь почему такие ценники.
Как бы не совсем это мифы.
Сюда стоит ещё добавить, что устраиваясь на работу в госструктуру тебя могут перевести в ранг госслужащего с последующим присвоением классного чина. Сразу оговорюсь, это не везде так. И вот если повезло стать госслужащим, то уже можно забыть об отдыхе за границей, своём мнении в интернет пространстве, помимо этого классность и в месте с ней заработная плата растёт в основном от трудового стажа, а не от реальных умений и знаний (потому что так принято).
Но мы следуем правилу: «пока работает — не трогай»
Оно выглядит немного по другому: «пока работало, работает и будет работать — не трогай» и это одна из причин почему устаревший стек технологий.
УГУ DDOS атака на большинстве проектов раз в год. Проще упасть и встать. А с миркосервисами вы намучитесь.
Кому как везёт. Часто просто упасть не разрешают. Бизнес требует чтобы работало. С микросервисами можно отмасштабировать нагруженную атакой часть.
Угу-угу. Если у вас монолит и вы сигнатуры методов поменяли, nо он просто не скомпилируется,
Чудеса случаются и оно вполне себе, но как-то компилируется. И потом чудеса не спешат исчезать.
А в реалиях, наоборот все наружу торчит в микросервисах, потмоу что про секьюрность думают в последнюю очередь.
Периодически проскакивают новости, что найдена торчащая в сеть база данных с дефолтными настройками безопасности. Опыт показывает, что о безопасности редко думают вообще.
Когда толкаются такие пафосные и категоричные лозунги, напрашивается моментальное предложение: «Начните в первую очередь с себя.»
Потому что «Нет плохих солдатов, есть плохие генералы.»
Если бы писали только. Федеральный канал Росс.1, прайм тайм, вечерние новости. Сюжет о очередном прорыве родимой науки: пожилой дядечка в белом халате и белой шапочке (якобы один из разработчиков) рассказывает об аппарате заменителе ИСЛ на основе гелия, который оказывается захватывает кислород, доставляет его поражённым клеткам и вдобавок (дословно) «гелий убивает все вирусы».
Не совсем так. Всё зависит от того как будет настроена его работа (т. н. режим работы). Транзистор может работать в ключевом режиме: либо открыт до полного насыщения, либо закрыт и отсекает ток.
обходиться ровно тем, что поставил инсталлятор ОС?
Смешались в кучу кони, люди…
На сколько понял было противопоставление довольно мощным приложениям, идущим в дефолтной поставке диструбитива, по работе с которыми в сети огромное количество справочной информации, самописным скриптам на Питоне. Только это довольно зыбкая дорога. Почему тогда не на Си или Яве?
Тут порой приходится конкретную версию МС оффиса искать
Значит дело поставлено из рук вон плохо. На многих коммерческих предприятиях, где обычно деньги зарабатывают и свои расходы считают, очень часто на пользовательских машинах установлен альтернативный вариант МС-офиса. Особо продвинутые ушли в облачные решения.
От души благодарен за такой развёрнутый и понятный ответ.
Теперь вам расскажу более жуткую страшилку. Привилегированные доступы к системе сильно не нужны. Иногда совсем. Что мы обычно имеем на рабочем сервере? Процесс или несколько целевых процессов работающих в сеансе некого пользователя (не могу подобрать подходящего слова, буду благодарен, если поправите мою мысль более точно). Получая доступ к этому пространству, получаете доступ ко всем переменным, объявленных в нём (команда printenv). А что у нас там? Там обычно параметры подключения к базе данных, хранилищам, сторонним сервисам и многое к чему.
Дальше не хочется фантазировать.
2 Не стоит думать, что OpenVPN безгрешен и не содержит уязвимостей.
3 Есть другой неприятный момент. Он не частый, но бывали случаи и люди на нём накалывались: некоторые провайдеры непонятно по какой такой блажи блокируют этот тоннель. Поэтому есть мануалы, как закосить под HTTPS, работая по OpenVPN.
Ещё надо иметь в виду, что некоторые провайдеры последней мили блокируют в своих сетях практически весь трафик UPD (сталкивался неоднократно). В настройках скрипта по умолчанию как раз идёт UDP. Но это не замечание, а просто личный опыт.
Для разграничения прав доступа применяется дискреционная или мандатная система разграничения прав доступа. Виртуализация, контейнеризация это немного про другое.
Начали хорошо. Но зачем ему давать привилегии sudo? Нужен пример? Пожалуйста: через уязвимости злоумышленник получил возможность удалённого выполнения кода от нашего нерутового пользователя. Хорошо, если он просто начал запускать свой скрипт, хотя хорошего в этом мало. Но он может пойти дальше и устроить локальный брутфорс пароля нерутового пользователя. Если у него получится его раздобыть, то дальше у него полностью развязываются руки.
Дельное предложение. Только лучше использовать более продвинутый вариант с ключом на основе эллиптических кривых
Не помню, чтобы он особенно помогал при атаках. Да, блокирует адреса при некоторых атаках, только при этом может отнять порядочное количество ресурсов, что его эффективность становится под вопросом. При неумелом использовании может вообще заблокировать систему от любого внешнего трафика и тогда начинается уже отдельное веселье.
Вообще это правильно называется автоматическая установка обновлений. И не всегда эти обновления связаны с безопасностью и не всегда обновления не приносят новых уязвимостей. Некоторые обновления могут приводить к перезапуску того или иного сервиса, а ещё могут вызывать конфликты с другими приложениями. С этим надо быть осторожней.
Помогает от тупых ботов, но есть продвинутые, которые, находя открытый порт, начинают проверять его на те или иные ответы. Поэтому лучше использовать более продвинутые методы защиты.
рельсовое хозяйство полностью, спрямлялись некоторые участки путей, изменения коснулись и других «дистанций пути» (так на ЖД службы именуются).
очень и очень дорого. Километр электрофицированной двухпутки стоит баснословных денег (в начале 2000-х по некоторым данным цена километра начиналась от 1 млрд. руб).
На обычных DS/VDS придётся самостоятельно пилить инфраструктуру, обеспечивать её сетевую связность, организовывать политики распределения доступа к ресурсам и многое другое.
Сюда стоит ещё добавить, что устраиваясь на работу в госструктуру тебя могут перевести в ранг госслужащего с последующим присвоением классного чина. Сразу оговорюсь, это не везде так. И вот если повезло стать госслужащим, то уже можно забыть об отдыхе за границей, своём мнении в интернет пространстве, помимо этого классность и в месте с ней заработная плата растёт в основном от трудового стажа, а не от реальных умений и знаний (потому что так принято).
Оно выглядит немного по другому: «пока работало, работает и будет работать — не трогай» и это одна из причин почему устаревший стек технологий.
Чудеса случаются и оно вполне себе, но как-то компилируется. И потом чудеса не спешат исчезать.
Периодически проскакивают новости, что найдена торчащая в сеть база данных с дефолтными настройками безопасности. Опыт показывает, что о безопасности редко думают вообще.
Потому что «Нет плохих солдатов, есть плохие генералы.»
Смешались в кучу кони, люди…
На сколько понял было противопоставление довольно мощным приложениям, идущим в дефолтной поставке диструбитива, по работе с которыми в сети огромное количество справочной информации, самописным скриптам на Питоне. Только это довольно зыбкая дорога. Почему тогда не на Си или Яве?
Значит дело поставлено из рук вон плохо. На многих коммерческих предприятиях, где обычно деньги зарабатывают и свои расходы считают, очень часто на пользовательских машинах установлен альтернативный вариант МС-офиса. Особо продвинутые ушли в облачные решения.