Если с точки зрения обычного пользователя, у которого лапки, то как правило да. Сам этот peazip я даже пробовать не буду, но если говорить с точки зрения продвинутого пользователя\админа, то: 1. Встроенные в ОС (windows так точно) средства ущербны и по скорости и по удобству и по параметрам архивации. Потестируйте на архивах от 500 Мб. 2. Нужны, как минимум 7z формат, bzip, zstd. Попробуйте zstd сжать\распаковать дамп mysql-базы, в 4 или больше потоков, это нереально круто и по скорости и по степени сжатия.
Можно и без него. В такой схеме весь СМТП и фильтрация на постфиксе на периметре, а imap, веб-доступ и прочее внури сети без СМТП. Но локально положить почту куда надо чуть проще, чем удаленно. Поэтому схема с 2 smtp (и на периметре и внутри), упрощает обслуживание. Например тем, что вам не надо делать на периметре пользовательскую аутентификацию, только серверы друг для друга по TLS. И получается, на периметре у вас тупой валенок, в котором практически нечего взламывать, а внутри - продвинутый exim или exchange-smtp со всеми сложными интеграциями.
Если вы не open relay и не в сетях облачных провайдеров, то как правило в srbl не окажетесь. Есть, конечно, уродские держатели таких списков, которые листят непойми за что, а за делистинг просят денег, или он у них вообще не работает, но их мало кто использует. Из самого неприятного тут сочетание barracuda central L3, в который пихают всех облачных провайдеров, и глупого местечкового админа, который настраивает его как единственный критерий для discard. Пользуясь случаем, призываю никогда не делать факт нахождения сервера в любом одном блек-листе фактором решения спам\не спам. 0.1 балла накинуть можно, но не более.
Тогда проще платить. Свой сервер требует коммерческого антиспама с антивирусом, админа, бэкапов, мониторинга, резервирования... У меня везде масштаб побольше был, от 100 ящиков большого объема свой сервер оправдывается. Меньше - не особо. Разве что как хобби для души :)
Вот-вот, люди думают, что у всех малый бизнес на 1,5 человека. Нам бы это стоило минимум 400000\мес. А мы еще и в лимит мейла для минимального тарифа 100Гб\ящик не укладываемся (и это за год, остальное в архиве еще на 100 Гб, суммарно 1.2 Тб "актуального" и 2 Тб "архивного")
Обещали рассмотреть ссш-клиенты, а рассмотрели агрегаторы соединений (или как их правильно назвать?). При этом бесплатный и opensource mremote-ng как-то не упомянули. У него есть минусы, но забесплатно лучше ничего не видел. Существенных минусов всего три - немного мылит картинку в RDP, странно реагирует на alt+tab, и передача файлов отдельно. Если в основном работаете с ssh, а RDP изредка или недолго - оптимальный вариант. А за деньги все равно лучше mobaxterm ничего нет. UPD: МС22 стоит 2500 р. В МЕСЯЦ? Они там нормальные вообще? MobaXterm пожизненная с обновлениями на первый год 49 Евро выходит дешевле!
Следующими шагами будет введение нового вида видео "not-so-shorts", а тикток введет полноформатные видео неограниченной длительности. Что же будет со всеми этими СДВГшниками! Я переживаю!
Справедливо, но... CrowdStrike и McAfee тоже отвечали своей репутацией вендора. Ivanti, Fortinet, Cisco, Microsoft (TMG) с RCE на все 10 баллов в решениях ИБ. И все же думали, ну уж у них-то тестирование точно налажено! Ну упали у них акции, ну кого-то там на совете директоров вздрючили. Конечному пользователю, у которого все лежало, это безразлично. У вашей системы степень воздействия в любом случае ниже и перечисленные вами меры действительно существенно снижают риски, но на мой взгляд, будь у вас все мной перечисленное (аудит кода, публикации о методах безопасной разработки и тестирования, bug bounty пусть и не с космическим вознаграждением) это сразу бы давало +10 к доверию.
Совершенно верно, а вот полное отсутствие любых независимых проверок говорит о том, что все это где-то там 100% есть, и тот кому надо, найдет и воспользуется. И добровольные сертификации и прохождения аудита + прозрачность разработки в смысле безопасности очень многое говорит об отношении самого разработчика к своему продукту и клиенту, и о культуре компании. Когда я выбирал решения для удаленного управления конечными ПК (на замену teamviewer), нашел компанию с таким продуктом, у которой прямо заявляется об ответственном отношениии ко всем этим вопросам, код выложен в open-source, результаты аудита кода выложены на сайте, баг-баунти есть и т. д. Очень позитивно такое воспринимается. Этот продукт и купили, и не пожалели.
К сожалению, предложить ничего не могу. Просто при выборе софта ИБ это первое на что надо смотреть, а у вас на сайте я увидел только информацию, что вы в реестре отечественного софта, и pdf (видимо, для того же реестра) где указано, что код хранится у вас в gitlab CE. Я не исследовал весь сайт, но больше ничего с ходу не нашел. И в сертификацию ФСТЭК я как-то не очень верю, мне кажется, что она "бумажно-бюрократическая", и мало что говорит о реальной защищенности сертифицируемого продукта. А хочется же верить в надежность ИБ-решения, и что твою инфраструктуру не захватят через него же.
Верно, просто в json или xml они уже структурированы, и парсить их во что угодно, в том числе csv удобнее, чем консольный вывод. Это у цисок он еще сам по себе вменяемый, а у некоторых (того же микрота dhcp leases например), он бывает настолько ужасный и неравномерный, с кучей лишнего, что его парсить сложно.
Правильная архитектура сети не означает же, что вы никогда не будете выполнять изменения конфигурации, или вам никогда не понадобятся данные с устройств? А дергать их для этого очень удобно по Api, если он полноценный. И конфиги хранятся в гите, вы видите, кто, когда и зачем поменял (и в чем именно накосячил). "Можно, но зачем? Почему просто на FTP не хранить?" Потому что преимущества IaaС начинаются уже от десятков устройств, а хранить бинарные конфиги на фтп это каменный век, наверное?
Да мне-то лично ничего не надо, у меня микроты, линукс и специальнообученный сетевик. Меня просто поражает, что в продуктах за такие деньги и с такой массой ресурсов у разработчика в 2024 году все еще надо дергать cli и парсить питоном консольный вывод, вместо того, чтоб получить нормальный json или хотя бы xml. И что еще более существенно, я так понимаю, конфиги нельзя хранить в гите в тексте, а каждый раз фигачить теми же самыми cli-коммандами из плейбуки. В микроте этого тоже нет, но он и стоит копейки. А вот если роутер на линуксе, там все бесплатно и прекрасно - ansibe + git раскладывает все по /etc и версионность и идемпотентность. жалко свичей на чистом линуксе нет.
Если с точки зрения обычного пользователя, у которого лапки, то как правило да.
Сам этот peazip я даже пробовать не буду, но если говорить с точки зрения продвинутого пользователя\админа, то:
1. Встроенные в ОС (windows так точно) средства ущербны и по скорости и по удобству и по параметрам архивации. Потестируйте на архивах от 500 Мб.
2. Нужны, как минимум 7z формат, bzip, zstd. Попробуйте zstd сжать\распаковать дамп mysql-базы, в 4 или больше потоков, это нереально круто и по скорости и по степени сжатия.
Можно и без него. В такой схеме весь СМТП и фильтрация на постфиксе на периметре, а imap, веб-доступ и прочее внури сети без СМТП. Но локально положить почту куда надо чуть проще, чем удаленно. Поэтому схема с 2 smtp (и на периметре и внутри), упрощает обслуживание. Например тем, что вам не надо делать на периметре пользовательскую аутентификацию, только серверы друг для друга по TLS. И получается, на периметре у вас тупой валенок, в котором практически нечего взламывать, а внутри - продвинутый exim или exchange-smtp со всеми сложными интеграциями.
Если вы не open relay и не в сетях облачных провайдеров, то как правило в srbl не окажетесь. Есть, конечно, уродские держатели таких списков, которые листят непойми за что, а за делистинг просят денег, или он у них вообще не работает, но их мало кто использует.
Из самого неприятного тут сочетание barracuda central L3, в который пихают всех облачных провайдеров, и глупого местечкового админа, который настраивает его как единственный критерий для discard.
Пользуясь случаем, призываю никогда не делать факт нахождения сервера в любом одном блек-листе фактором решения спам\не спам. 0.1 балла накинуть можно, но не более.
Прекрасная статья и отличный набор компонентов, но вот часть про clamav создает ложное впечатление, что он от чего-то защищает. Объективно это очень слабый антивирус.
https://en.wikipedia.org/wiki/ClamAV#:~:text=Splunk's study concluded ClamAV was,to detect 249%2C696%2F416%2C561 samples.
То же самое могу сказать про rspamd и другие opensource\free решения. С ними надо закручивать гайки по-максимуму (и терять существенную часть почты на ложноположительных срабатываниях), и спам все равно будет. Для персонального использования это еще может быть приемлемо, для бизнеса - абсолютно нет.
Еще порекомендовал бы поднимать шлюз на postfix перед exim, потому что тот уж очень бурно развивается, и в нем постоянно находят RCE
https://www.cvedetails.com/vulnerability-list/vendor_id-10919/product_id-19563/Exim-Exim.html?page=1&cvssscoremin=6&order=1
А в постфиксе - нет:
https://www.cvedetails.com/vulnerability-list/vendor_id-8450/product_id-14794/Postfix-Postfix.html?page=1&cvssscoremin=6&order=1
Ну и файрволлить все по-максимуму.
Тогда проще платить. Свой сервер требует коммерческого антиспама с антивирусом, админа, бэкапов, мониторинга, резервирования... У меня везде масштаб побольше был, от 100 ящиков большого объема свой сервер оправдывается. Меньше - не особо. Разве что как хобби для души :)
Вот-вот, люди думают, что у всех малый бизнес на 1,5 человека. Нам бы это стоило минимум 400000\мес. А мы еще и в лимит мейла для минимального тарифа 100Гб\ящик не укладываемся (и это за год, остальное в архиве еще на 100 Гб, суммарно 1.2 Тб "актуального" и 2 Тб "архивного")
так какое именно количество ящиков, и какой объем хранения нужен?
И Ёлка на новый год больше не радует! И воздушные шарики!
Или распил на импортозамещении.
Обещали рассмотреть ссш-клиенты, а рассмотрели агрегаторы соединений (или как их правильно назвать?). При этом бесплатный и opensource mremote-ng как-то не упомянули. У него есть минусы, но забесплатно лучше ничего не видел. Существенных минусов всего три - немного мылит картинку в RDP, странно реагирует на alt+tab, и передача файлов отдельно. Если в основном работаете с ssh, а RDP изредка или недолго - оптимальный вариант. А за деньги все равно лучше mobaxterm ничего нет.
UPD: МС22 стоит 2500 р. В МЕСЯЦ?
Они там нормальные вообще? MobaXterm пожизненная с обновлениями на первый год 49 Евро выходит дешевле!
Следующими шагами будет введение нового вида видео "not-so-shorts", а тикток введет полноформатные видео неограниченной длительности. Что же будет со всеми этими СДВГшниками! Я переживаю!
Справедливо, но... CrowdStrike и McAfee тоже отвечали своей репутацией вендора. Ivanti, Fortinet, Cisco, Microsoft (TMG) с RCE на все 10 баллов в решениях ИБ. И все же думали, ну уж у них-то тестирование точно налажено! Ну упали у них акции, ну кого-то там на совете директоров вздрючили. Конечному пользователю, у которого все лежало, это безразлично. У вашей системы степень воздействия в любом случае ниже и перечисленные вами меры действительно существенно снижают риски, но на мой взгляд, будь у вас все мной перечисленное (аудит кода, публикации о методах безопасной разработки и тестирования, bug bounty пусть и не с космическим вознаграждением) это сразу бы давало +10 к доверию.
Совершенно верно, а вот полное отсутствие любых независимых проверок говорит о том, что все это где-то там 100% есть, и тот кому надо, найдет и воспользуется.
И добровольные сертификации и прохождения аудита + прозрачность разработки в смысле безопасности очень многое говорит об отношении самого разработчика к своему продукту и клиенту, и о культуре компании.
Когда я выбирал решения для удаленного управления конечными ПК (на замену teamviewer), нашел компанию с таким продуктом, у которой прямо заявляется об ответственном отношениии ко всем этим вопросам, код выложен в open-source, результаты аудита кода выложены на сайте, баг-баунти есть и т. д. Очень позитивно такое воспринимается. Этот продукт и купили, и не пожалели.
К сожалению, предложить ничего не могу. Просто при выборе софта ИБ это первое на что надо смотреть, а у вас на сайте я увидел только информацию, что вы в реестре отечественного софта, и pdf (видимо, для того же реестра) где указано, что код хранится у вас в gitlab CE. Я не исследовал весь сайт, но больше ничего с ходу не нашел. И в сертификацию ФСТЭК я как-то не очень верю, мне кажется, что она "бумажно-бюрократическая", и мало что говорит о реальной защищенности сертифицируемого продукта. А хочется же верить в надежность ИБ-решения, и что твою инфраструктуру не захватят через него же.
Верно, просто в json или xml они уже структурированы, и парсить их во что угодно, в том числе csv удобнее, чем консольный вывод. Это у цисок он еще сам по себе вменяемый, а у некоторых (того же микрота dhcp leases например), он бывает настолько ужасный и неравномерный, с кучей лишнего, что его парсить сложно.
Правильная архитектура сети не означает же, что вы никогда не будете выполнять изменения конфигурации, или вам никогда не понадобятся данные с устройств? А дергать их для этого очень удобно по Api, если он полноценный.
И конфиги хранятся в гите, вы видите, кто, когда и зачем поменял (и в чем именно накосячил).
"Можно, но зачем? Почему просто на FTP не хранить?"
Потому что преимущества IaaС начинаются уже от десятков устройств, а хранить бинарные конфиги на фтп это каменный век, наверное?
Я почему-то думал, что китайский. даже не знаю, как так вышло :) Вы правы, основаны в США Индусом и американцем, и никогда не имели отношения к Китаю.
вот хотелось бы то же самое, но без отдельных серваков и денег. У китайцев, видимо, из коробки есть:
https://www.juniper.net/documentation/us/en/software/junos/rest-api/index.html
У вьятта-линукс есть
https://docs.vyos.io/en/equuleus/automation/vyos-api.html
И даже у микрота, оказывается, что-то все-таки есть.
https://wiki.mikrotik.com/wiki/Manual:API#Protocol
а у циски либо за деньги, либо в отдельных старших моделях. Непонятно.
Да мне-то лично ничего не надо, у меня микроты, линукс и специальнообученный сетевик. Меня просто поражает, что в продуктах за такие деньги и с такой массой ресурсов у разработчика в 2024 году все еще надо дергать cli и парсить питоном консольный вывод, вместо того, чтоб получить нормальный json или хотя бы xml. И что еще более существенно, я так понимаю, конфиги нельзя хранить в гите в тексте, а каждый раз фигачить теми же самыми cli-коммандами из плейбуки.
В микроте этого тоже нет, но он и стоит копейки. А вот если роутер на линуксе, там все бесплатно и прекрасно - ansibe + git раскладывает все по /etc и версионность и идемпотентность. жалко свичей на чистом линуксе нет.
А сам ваш продукт проходил тестирование безопасности - независимый аудит кода, сертификации какие-то? Как с принципами безопасной разработки?