Холодное хранилище? Для самого критически важного у меня hdd и DVD/blu-ray rw диски. Вот именно лазерные диски переживут и 50 лет хранения если не царапать их.
И не забываем шифровать, ранее я пользовался pgp но потеряв ключ перешёл просто на aes
У меня есть рутокен эцп флеш 2.0 на 32гб ,8 гб под подготовленную ос в режиме чтения, а остальное скрыто силами рутокена за пинкодом, а тот ограничен 5 ошибками. 9 цифр букв и символов в разном регистре. Взломать только если там будет аппаратная уязвимость, а пароли внутри зашифрованы veracrypt.
У меня тоже облако домашнее, доступ из вне, по geoip порезан доступ, только я бекаплю шифрованные данные. А пользуюсь keepass и автозаполнением его. Развернут xray и доступ к облаку через него. Б безопасность кажется.
Концепция интересна, однако почему бы если вы поняли что он не хороший пользователь или бот, кинуть его на tarpit и пусть ожидает ответа на каждое действие, ну или просто отправить его блуждать по "скрытому" разделу сайта с задержкой ответа для таких. На haproxy у меня реализовано примерно так, кто то превышает кол во запросов на странице, или стучится в форму авторизации, его кидает на фейковый бекенд с авторизацией или капчу (зависит от его действий) и тарпитом, что сделает обычный пользователь? Может пару раз попробует авторизацию/капчу пройти и закроет, а бот будет добиться бесконечно пока не получит silent-drop. Заносим в slick table на какой нибудь срок и все. Клиент в полном игноре. Ни кодов ошибок типо 429 или 403, просто ни чего в ответ.
mTLS для сервисов внутри компании, сотрудник ушел - отозвали. Так же этим методом защищаю админ панели и метрики. GeoIP как раз применяется для маршрутизации по странам. DoH что бы раздавать клиентам в OpenVPN приватные домены. Автопродление сертификатов без перезапуска HAProxy через acme и deploy метод. С 3xui я думаю понятно.
Через обратный прокси, у меня есть статья. Добавляете перед dns-query строку, получаете путь ввиде example.com/mydnspath/dns-query, в при передачи его на бекенд adguardhome стираете путь. Об этом я напишу, как установить 3xui не от рут, как разрешить работу с сокетами получение сертификатов и тд, в одной большой статье.
3X-UI проще в настройке, я использую haproxy как для reality так и для xhttp, перешёл с портов на сокеты, и ушёл от докера ставлю 3x ui на железо, не от рута. Инсталляция не самая простая за счёт выставления прав доступа и тд. В докере только adguardhome для doh.
Сразу скажу про сео знаю мало, но почему бы 1. Не ограничить кол-во запросов с одного ip? 2. Сделать белый список ботов. 3. Запретить юзер агенты не похожие на браузер. 4. Перейти на обратный прокси, блокировки производить на нем.
Rate limit подбирается методом проб, завист от кол-ва запросов и сложности сайта, можно воткнуть для ботов tarpit чтоб ответ им не сразу приходил о превышенном кол-ве запросов.
Явных ботов можно автоматом вносить в чёрный список например на 5д, через fail2ban, и блочить ещё начальном этапе соединения, снижая нагрузку на сайт. Перекладывая её на обратный прокси.
Приложение называется zapret, для роутеров на openwrt есть тот же yt unblock, или запрет. Но это не убережет от тех кто блочит контент по стране. Только менять IP.
Вот только ocserv не может в статику к сожалению, а хотелось бы в замкнутом конкуре иметь статику для определённых клиентов, ovpn с tls crypt пока работает, v2 вроде как лучше обходит dpi. У меня и quic и openvpn даже wg работает внутри страны, что удивительно. Но надеяться не стоит, ocserv могут по gnutls блонуть, не панацея, вроде как sstp ещё есть но он медленнее и нет защиты от activ probing, и я без понятия будет ли он работать за обратным прокси.
У меня все ещё остались 320gb диски их 3 штуки, два в домашней лабе на 5600х проце, один пуст и ещё наверное 3 штуки по 500, и один 1000, и это старые диски, и только один из них в среднем состоянии, так что диски смело выхаживают при хорошем охлаждении ни один год, 1000 я точно знаю он года так с 15-16 примерно и в отличном состоянии, ваши китайские(и не только) m2 способны на такое? Ssd корп класса не берём в расчёт. Да и диски обычные потребительские.
Давно думал о переносе системы т.к. там крутится частичка умного дома в виде node red для управления вентиляции, хотел подключить Prometheus но SD жалко. Единственное у меня zigbee свиток стоит, но у арельсинки есть ещё два usb 2.0 на гребёнке нужен только переходник.
Холодное хранилище? Для самого критически важного у меня hdd и DVD/blu-ray rw диски. Вот именно лазерные диски переживут и 50 лет хранения если не царапать их.
И не забываем шифровать, ранее я пользовался pgp но потеряв ключ перешёл просто на aes
У меня есть рутокен эцп флеш 2.0 на 32гб ,8 гб под подготовленную ос в режиме чтения, а остальное скрыто силами рутокена за пинкодом, а тот ограничен 5 ошибками. 9 цифр букв и символов в разном регистре. Взломать только если там будет аппаратная уязвимость, а пароли внутри зашифрованы veracrypt.
Я keepass базу в локальное облако бекаплю
У меня тоже облако домашнее, доступ из вне, по geoip порезан доступ, только я бекаплю шифрованные данные. А пользуюсь keepass и автозаполнением его. Развернут xray и доступ к облаку через него. Б безопасность кажется.
А есть raspberry pi например zero/2 w одна прошивка mame86 чего стоила.
Концепция интересна, однако почему бы если вы поняли что он не хороший пользователь или бот, кинуть его на tarpit и пусть ожидает ответа на каждое действие, ну или просто отправить его блуждать по "скрытому" разделу сайта с задержкой ответа для таких. На haproxy у меня реализовано примерно так, кто то превышает кол во запросов на странице, или стучится в форму авторизации, его кидает на фейковый бекенд с авторизацией или капчу (зависит от его действий) и тарпитом, что сделает обычный пользователь? Может пару раз попробует авторизацию/капчу пройти и закроет, а бот будет добиться бесконечно пока не получит silent-drop. Заносим в slick table на какой нибудь срок и все. Клиент в полном игноре. Ни кодов ошибок типо 429 или 403, просто ни чего в ответ.
Это если они нужны ) а если пользователи только браузера и по другому не умеют, то им оно и не нужно, прикрываем лозейку и все.
mTLS для сервисов внутри компании, сотрудник ушел - отозвали. Так же этим методом защищаю админ панели и метрики.
GeoIP как раз применяется для маршрутизации по странам.
DoH что бы раздавать клиентам в OpenVPN приватные домены.
Автопродление сертификатов без перезапуска HAProxy через acme и deploy метод.
С 3xui я думаю понятно.
Использую haproxy, из фишек встроенный экспортер prometheus.
Через обратный прокси, у меня есть статья. Добавляете перед dns-query строку, получаете путь ввиде example.com/mydnspath/dns-query, в при передачи его на бекенд adguardhome стираете путь. Об этом я напишу, как установить 3xui не от рут, как разрешить работу с сокетами получение сертификатов и тд, в одной большой статье.
3X-UI проще в настройке, я использую haproxy как для reality так и для xhttp, перешёл с портов на сокеты, и ушёл от докера ставлю 3x ui на железо, не от рута. Инсталляция не самая простая за счёт выставления прав доступа и тд. В докере только adguardhome для doh.
Сразу скажу про сео знаю мало, но почему бы 1. Не ограничить кол-во запросов с одного ip? 2. Сделать белый список ботов. 3. Запретить юзер агенты не похожие на браузер. 4. Перейти на обратный прокси, блокировки производить на нем.
Rate limit подбирается методом проб, завист от кол-ва запросов и сложности сайта, можно воткнуть для ботов tarpit чтоб ответ им не сразу приходил о превышенном кол-ве запросов.
Явных ботов можно автоматом вносить в чёрный список например на 5д, через fail2ban, и блочить ещё начальном этапе соединения, снижая нагрузку на сайт. Перекладывая её на обратный прокси.
4. подключить WAF.
Есть ещё bpi r3 mini, тоже будет отличный вариант для шлюза.
Белый список протоколов, ss22 это просто нечто зашифрованное и не понятное.
Приложение называется zapret, для роутеров на openwrt есть тот же yt unblock, или запрет. Но это не убережет от тех кто блочит контент по стране. Только менять IP.
А режим белого списка протоколов? Как отразится на awg?
Старые инструкции, в моем конфиге шифрование aes256 ключ nist p-384
Вот только ocserv не может в статику к сожалению, а хотелось бы в замкнутом конкуре иметь статику для определённых клиентов, ovpn с tls crypt пока работает, v2 вроде как лучше обходит dpi. У меня и quic и openvpn даже wg работает внутри страны, что удивительно. Но надеяться не стоит, ocserv могут по gnutls блонуть, не панацея, вроде как sstp ещё есть но он медленнее и нет защиты от activ probing, и я без понятия будет ли он работать за обратным прокси.
У меня все ещё остались 320gb диски их 3 штуки, два в домашней лабе на 5600х проце, один пуст и ещё наверное 3 штуки по 500, и один 1000, и это старые диски, и только один из них в среднем состоянии, так что диски смело выхаживают при хорошем охлаждении ни один год, 1000 я точно знаю он года так с 15-16 примерно и в отличном состоянии, ваши китайские(и не только) m2 способны на такое? Ssd корп класса не берём в расчёт. Да и диски обычные потребительские.
Давно думал о переносе системы т.к. там крутится частичка умного дома в виде node red для управления вентиляции, хотел подключить Prometheus но SD жалко. Единственное у меня zigbee свиток стоит, но у арельсинки есть ещё два usb 2.0 на гребёнке нужен только переходник.