Думаю автор взял стандартную инсталляцию Linux где ядро по умолчанию лежит в /boot. Ну и как бы в статье именно про ядро, а не про BIOS и загрузчик (имхо это отдельная большая тема), а про то как запустить это буквально вся статья, да упрощённо, но всё же.
Лично мне не очень нравится ZeroTrust по одной причине - поддержке всех доступов в актуальном состоянии. Всегда найдутся сотрудники которым требуюьтся индивидуальные доступы с достаточно широкими или нестандартными правами, под которые вспотеешь создавать отдельные правила.
Тут в целом ZeroTrust это тотальный контроль с полным учётом всех сервисов в dev и prod среде, самое проблематичное не запрос/выдача доступов, а поддержание всего этого хозяйства в актуальном состоянии. Остро этот вопрос встаёт даже если сервера/сервисы исчисляются десятками/сотнями и множество смежных отделов.
Классический же VPN (OpenVPN/WG) имеет +/- те же проблемы НО это решение более понятное и распростанённое. Удобство добавляет (как правило) что доступы "напилены" целыми подсетями для dev сред заранее.
Только прошу не экстраполировать личный опыт на всех. Есть множество тех кто сидит на тех же OpenVPN/WG c ограничениями по широким подсетям.
Ну напрмер - RDP, SMB, VNC, да даже банальное полключение к TCP/UDP сервису. К счастью или к сожалению у некотрых компаний до сих пор выдаётся доступ по портам к НЕ web ресурсам.
OpenVPN более гибок в настройке, с приходом DCO по скорости с WG не очень большие отличия. PKI достаточно прост, как писали другие можно без проблем выделить виртуалку и на ней организовать CA с дальнейшей синхронизацией итоговых файлов на VPN сервера, благо ccd и crl применяются без рестарта сервера OpenVPN.
Из того что конкретно использую и чего нет в WG единственное это авторизация в LDAP при подключении, ну и всё таки полноценные логи рулят, особенно когда начинаются проблемы. Ну и чтобы не гонять весь клиентский трафик через "защищённый бастион" лучше пушить нужные подсети клиентам, как централизовано, так и в индивидуальном порядке если нужно.
А не оверхед ли использовать нейросеть для подсчёта коммунальных услуг? Судя по Excel таблице на скриншотах можно было просто обойтись формулами.
Давненько использовал hacdias/webdav
Думаю автор взял стандартную инсталляцию Linux где ядро по умолчанию лежит в /boot. Ну и как бы в статье именно про ядро, а не про BIOS и загрузчик (имхо это отдельная большая тема), а про то как запустить это буквально вся статья, да упрощённо, но всё же.
Лично мне не очень нравится ZeroTrust по одной причине - поддержке всех доступов в актуальном состоянии. Всегда найдутся сотрудники которым требуюьтся индивидуальные доступы с достаточно широкими или нестандартными правами, под которые вспотеешь создавать отдельные правила.
Тут в целом ZeroTrust это тотальный контроль с полным учётом всех сервисов в dev и prod среде, самое проблематичное не запрос/выдача доступов, а поддержание всего этого хозяйства в актуальном состоянии. Остро этот вопрос встаёт даже если сервера/сервисы исчисляются десятками/сотнями и множество смежных отделов.
Классический же VPN (OpenVPN/WG) имеет +/- те же проблемы НО это решение более понятное и распростанённое. Удобство добавляет (как правило) что доступы "напилены" целыми подсетями для dev сред заранее.
Только прошу не экстраполировать личный опыт на всех. Есть множество тех кто сидит на тех же OpenVPN/WG c ограничениями по широким подсетям.
Ну напрмер - RDP, SMB, VNC, да даже банальное полключение к TCP/UDP сервису.
К счастью или к сожалению у некотрых компаний до сих пор выдаётся доступ по портам к НЕ web ресурсам.
Рискну предложить вытаскивать через nginx не голый http\https прокси, а прокси который использует ws/grps в качестве транспорта. Такое умеет gost.
OpenVPN более гибок в настройке, с приходом DCO по скорости с WG не очень большие отличия.
PKI достаточно прост, как писали другие можно без проблем выделить виртуалку и на ней организовать CA с дальнейшей синхронизацией итоговых файлов на VPN сервера, благо ccd и crl применяются без рестарта сервера OpenVPN.
Из того что конкретно использую и чего нет в WG единственное это авторизация в LDAP при подключении, ну и всё таки полноценные логи рулят, особенно когда начинаются проблемы.
Ну и чтобы не гонять весь клиентский трафик через "защищённый бастион" лучше пушить нужные подсети клиентам, как централизовано, так и в индивидуальном порядке если нужно.
Даже V3 отвечает правильно, с первой попытки