В моём случае — действительно, увидеть, что «работает». Однако, полагаю, что для многих будет полезно включить новый протокол в целях, к примеру, разработки, подготовиться к тому, чтобы обновить свои приложения заблаговременно, протестировать их работу. Ощутить, так сказать, на себе все эти преимущества .
Спасибо за комментарий! Полностью согласен, не делал checkinstall для openssl, так как это только тестовая среда, и вероятность того, что переустанавливать nginx придётся намного выше, чем openssl. По сути, пока подбирал рабочую конфигурацию, openssl ни разу не сносил, в то время, как nginx — раза 3 или 4. На продакшене, конечно, надо делать checkinstall на все пакеты.
Итак, если резюмировать вопрос уязвимости сервера, к примеру, Debian.
Вариант №1. Посредством веб-сервера, запущенного на данном сервере. При каких условиях становится возможным эксплуатация уязвимости bash?
Пойдём от обратного. Как я себе вижу. Эксплуатировать уязвимость bash на данном сервере считается невозможным, если у пользователя веб-сервера, от которого он работает, это к примеру, www-data, в /etc/passwd установлен интерпретатор команд не bash (идеально /bin/false). Вызовы системных команд через тот же exec () из кода будет происходить с использованием /bin/sh по дефолту, что уже известно, и в свою очередь ,/bin/sh — это dash на самом деле, и который неподвержен атакам. А также это всё верно в том случае, если работает apache+mod_fcgi или php-fpm. Иначе и говорить даже не о чём, и сервер абсолютно защищён?
Вариант №2. Атака по протоколу ssh. Если учесть, что PermitRootLogin no, все пароли всех пользователей достаточно надёжны, и порты прикрыты acl списками по firewall-у, тогда также не стоит беспокоиться по поводу безопасности и возможности эксплуатации багов в bash?
Просьба подтвердить или опровергнуть, что я не учёл в своих размышлениях.
«В чем цель статьи — рассказать новичкам, как легко получить хорошую систему виртуализации, или о том, как настроить такую систему именно под centos?»
Цель статьи — это все вышесказанное, только в комплексе.
На втором шаге приводится ссылка (https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Virtualization_Administration_Guide/chap-Virtualization_Administration_Guide-Storage_Pools-Storage_Pools.html#sect-Virtualization-Storage_Pools-Creating-Local_Directories), по которой описаны различные типы хранилищ. Среди них есть и LVM.
Конечно, можно! Но статья не об этом. Чтобы не загромождать мануал дополнительными инструкциями, решено показать самый простой и быстрый в реализации тип хранилища.
Первоначальная цель — описать установку ВМ, рабочий метод. А так как virt-manager, тем более проброс графики с удаленного сервера — лишняя надстройка, с которой могут возникнуть проблемы в настройке, описан и консольный метод, и через графику (virt-manager)
Честно, пока не пробовал пробрасывать флешку, так как имею дело только с удаленными серверами, они вообще в другой стране расположены :) Трудно подключить к ним флешку…
А драйвера графических устройств стандартные, работают стабильно. Но они не особо производительные, а только «чтобы показывало».
denis-19 Поправьте, пожалуйста, в тексте 4.7М, а не 4.7G
Вариант №1. Посредством веб-сервера, запущенного на данном сервере. При каких условиях становится возможным эксплуатация уязвимости bash?
Пойдём от обратного. Как я себе вижу. Эксплуатировать уязвимость bash на данном сервере считается невозможным, если у пользователя веб-сервера, от которого он работает, это к примеру, www-data, в /etc/passwd установлен интерпретатор команд не bash (идеально /bin/false). Вызовы системных команд через тот же exec () из кода будет происходить с использованием /bin/sh по дефолту, что уже известно, и в свою очередь ,/bin/sh — это dash на самом деле, и который неподвержен атакам. А также это всё верно в том случае, если работает apache+mod_fcgi или php-fpm. Иначе и говорить даже не о чём, и сервер абсолютно защищён?
Вариант №2. Атака по протоколу ssh. Если учесть, что PermitRootLogin no, все пароли всех пользователей достаточно надёжны, и порты прикрыты acl списками по firewall-у, тогда также не стоит беспокоиться по поводу безопасности и возможности эксплуатации багов в bash?
Просьба подтвердить или опровергнуть, что я не учёл в своих размышлениях.
Цель статьи — это все вышесказанное, только в комплексе.
А драйвера графических устройств стандартные, работают стабильно. Но они не особо производительные, а только «чтобы показывало».