Защищаем систему. Или как настроить и использовать port knocking

Подсказка из зрительного зала: fail2ban мониторит логи авторизации.

Ему, по большей части, всё равно, кто и в какие… кхм, порты долбится. Если надо выпилить в /dev/null всех незнакомцев, ломящихся в tcp/22, то прошу любить и жаловать ipset.

Защищаем систему. Или как настроить и использовать port knocking

Их нет. Для тех, кому непривычна среда *BSD, показано решение на базе Ubuntu.

FQ_CoDel — планировщик пакетов, который сделает все за вас

Почти идентично (детали — в «man 8 ip»):

выхлоп

$ ip -0 addr | egrep -ve'^ '
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
2: teql0: <NOARP> mtu 1500 qdisc noop state DOWN group default qlen 100
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
4: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000

$ ip link | egrep -ve'^ '
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
2: teql0: <NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 100
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
4: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000

Arcade Volleyball на HTML5 и под Android

Скринсейвер, очевидно же! И если этот вариант был ещё в те бородатые года — хвала и почёт разработчикам! :)

Дыра в безопасности IP-телефонов D-Link? Нет, это «Особенность»!

Пардон муа: рекомендую домой микротики. Несколько кинетиков вешал убийственной парочкой «HD-канал IPTV + десятка самых сидируемых торрентов с одного популярного ресурса», причём что по меди, что по воздуху.

Вопрос ребром: регистрации аккаунтов на общедоступных email-серверах

Здесь могла быть шутка про некоторую компанию, которая «на шаг впереди».

Отрезанный палец не поможет разблокировать iPhone 5S

Новая криминальная специализация — «хост на час». База «хостов» с указанием группы крови и резус-фактора.

Вышло обновление, повышающее общую безопасность Windows 7

Это значит, что в пятницу на работе можно будет не работать работу.

PS: не беспокойтесь, у меня на работе лицензии толстыми пачками, иначе откуда бы взяться Microsoft HUP?..

Установка и настройка TeamSpeak 3 сервера на VDS

Я знаю как минимум одну причину, почему конечные пользователи/системные администраторы/энтузиасты делают выбор в пользу Squeeze (oldstable), а не Wheezy (stable).
Для начинающих это проблема, а чуть более опытные товарищи пользуют либо симлинки недостающего, плюс-минус dpkg-deb (если Вам повезло и разработчик предоставил продукт в виде пакета).

Apple представила iPhone 5S, iPhone 5C и релиз iOS 7

По идее, можно мариновать, но в слабом рассоле или по старинке в формалине.
Замораживать не советую — нарушите целостность собственно «пароля».

Apple представила iPhone 5S, iPhone 5C и релиз iOS 7

Я полагаю, что будет просто термос с очень холодным консервирующим веществом и нужная для аутентификации часть тела.

Будущее нашей цивилизации: гибель или бессмертие?

Повеяло «Суммой технологии» С.Лема…

Девять признаков сурового администратора Unix

Пользователи могут и не знать свой пароль, если авторизация происходит по ключу. Скрепя сердце, можно даже в sudoers некоторым пользователям дать NOPASSWD для узкого списка приложений, хотя это тоже потенциальная дыра.

Девять признаков сурового администратора Unix

Рискую получить по шапке за трудолюбие, но всё равно:
sudo su -
Upd: насколько я помню, так правильно запускается процедура входа в систему как root — сиречь, с правильными переменными окружения, запуском .bashrc, .profile, et cetera.

Как я упрощаю себе жизнь работая за компьютером и в IRL

GNU Screen экономит время и нервы многих людей, так или иначе связанных с *nix.

PS: моё скромное мнение, что хаб «Высокая производительность» не для подобных топиков.
Простите великодушно, если я ошибаюсь.

Как не проиграть $100 000 — советы судей по участию в конкурсах идей

Кот не может предоставить сколько-нибудь объективной оценки — он заинтересован в еде.

Экономия на спичках, или Неуловимый Джо возвращается

Автор первого топика задался исследованием количества (именно количества) неудачных сисколов, и предположил, что приложения будут загружаться ощутимо быстрее, если в тех местах, где программа ищет в первую очередь (upd: не только либы, но и локали, звуки, картинки, et cetera), создавать симлинки на вполне себе существующие файлы. Вкратце и не вдаваясь в подробности и философию, это было так.

PS: readahead ощутимее добавляет прирост производительности за счёт кэширования, нежели «симлинкинг» всего и всюду.

Большой Калькулятор выходит из под контроля

Я полагаю, что это называется «от слов — к делу».

Мини-ПК под Linux за 45 долларов

Обратитесь к сайту вендора. Вся линейка позиционируется как платформа для разработки. В наличии на сайте модель стоимостью $120 с гигабитным адаптером с небольшой ремаркой внизу страницы («1000Mbps link is limited to 470Mbps actual bandwidth due to internal chip busses limitation»).

upd: я всегда буду обновлять страницу, прежде чем оставлять комментарии.

Экономия на спичках, или Неуловимый Джо возвращается

Есть один тонкий момент: я рассмотрел не однопоточное приложение типа «Hello, World», а многопоточную и достаточно сложную систему (всё ещё называющуюся web-браузером), посему сумма времени всех неудавшихся вызовов в реальности будет даже меньше 4 секунд. Полагаю, что выяснить это можно лишь записывая время в unix epoch с точностью 1e-6 для каждого вызова, и посмотреть пересечения.

Поиск библиотек происходит на старте, совершается линковщиком, который так или иначе делает системные вызовы, а значит, его вызовы тоже попадают в трассировку. Если выполнить тест повторно, но уже с временем вызова, то можно сегментировать [неудачные] вызовы по времени от запуска приложения.