Крайне разумно по сути, но, увы, неосуществимо по содержанию. Такой крупный IT ресурс не может быть отделён от сосбтвенно IT сообщества и общей ситуации с IT в стране. Поэтому так или иначе проблемы IT сообщества будут ударять по ресурсу. Бороться с этим, ИМХО, вредно, потому что борьба с симптомами может очень быстро уподобить Хабр тому же Роскомнадзору. Бороться надо с корнем проблемы, а не как делают наши придурковатые бандюки в Кремле — с проявлениями. Печально, но с корнем проблемы бороться Хабру практически нечем. Бороться с проявлениями вредно для самого Хабра. Желаю администрации найти разумный баланс, хотя я его и не вижу, и никогда не уподобляться Роскомнадзору и прочим.
Обсуждать поподание хабра в реестр бессмысленно, всё давно обсудили. Но какого лешего пользователь-то в ридонли? Тлетворное влияние глубоконеуважаемых властьимущих бандитов добралось до администрации хабра?
Нет, речь именно об этом. У правоохранительных органов не должно быть никакого доступа к инфраструктуре операторов. Прослушивающие устройства — пожалуйста. Но только неподконтрольные правоохранительным органам.
Первое является лишь технической проблемой, решать которую должны те, кому требуетя такая прослушка. Второе, по сути, тоже. Речь же не идёт о том, чтобы в онлайн-режиме сообщать о том, кого сейчас прослушиваем. А только о том, чтобы были предоставлены фактические доказательства того, что в стране прослушиваются только злоумышленники. Хотя бы косвенные. Например, можно обязать любых провайдеров предоставлять доступ к определённому конкретному каналу связи по санкции суда, при этом полностью лишив правоохранительные органы возможности взаимодействовать с провайдером по этому вопросу, кроме получения непосредственно данных прослушки. А потом ввести уголовную для провоохранителей и какую-нибудь жёсткую административную для провайдеров ответственность за незаконное получение данных прослушки + ввести какой-нибудь механизм контроля на уровне провайдеров, не связанный с оперативниками и не подконттрольный им.
В любом случае всё это — вопрос грамотной организации и только. Нарушение законов различными государственными структурами, особенно конституции и особенно правоохранительными органами, категорически недопустимо, ибо это сразу ставит под вопрос легитимность государственного строя. Собственно скорей даже ставит крест на этой легитимности, потому как явное целенаправленное нарушение закона не может сочетаться с легитимностью.
Основная проблема России ещё и в том, что власть не удосуживает себя хотя бы формально соблюдать законы. В США вон какой скандал раздули, а России власть просто декларирует, что ей плевать на законы в угоду своей выгоде и всё тут. Прямо, открыто и не стесняясь заявляет, что власть будет творить то, что хочет, и законность её волнует в последнюю очередь. И такая позиция вообще делает бессмысленным обсуждение конституции и законности. У нас де-факто законно всё, что угодно власти.
Конституции противоречит прослушка без санкции суда. Соответственно, любые устройства прослушки на магистральных линиях связи, которыми пользуются не только злоумышленники. Казалось бы, очевидные вещи, не? И вот только не надо тут говорить, что мы должны слепо верить слову наших глубоконеуважаемых правоохренительных органов, которые утверждают, что прослушивают они только тех абонентов, на которых есть санкции. Без прозрачного механизма контроля за СОРМ'ом все эти слова всего лишь филькина грамота. По факту любая прослушка магистральной линии нарушает конституцию.
Вы знаете, чем класс от объекта отличается? Риторический вопрос, кажется. Я не ООПист, я вообще не программист — я сисадмин. Класс/объект — это как слог/слово для ЛЮБОГО программиста. Не, ну некоторые не помнят и этого, конечно, из школьной программы.
Я разбил (не сильно) две машины на ухабах федеральных трасс европейской части за последние 2 года, мой друг разбил машину в яме на трассе СПб-Москва (!) год назад. Хороших дорог в России практически нет и не появляется. Не путайте дороги и основные шоссе, которые связывают самые важные города и без которых автомобильное движение вообще невозможно по стране.
Когда подавляющее большинство дорог из деревни А в деревню Б будут приведены в состояние, что по ним можно будет ездить на машине с клиренсом в 10см на скорости хотя бы 60 км в час — тогда можно будет говорить о НОРМАЛЬНЫХ дорогах. Когда скорость повысится до номинальных 90 — о хороших. Пока же в Росии дорог как не было, так и нет.
Я знаю только одно новое шоссе адекватного качества на северо-западе — СПб-Приозерск. И то, его только строят. Все (!) остальные магистрали северо-запада назвать нормальными дорогами невозможно. Ибо больше ни одного нормального шоссе на северо-западе нет. Про обычные дороги молчу. Федеральная трасса Р-1 СПб-Архангельск, стоявшая мне пропоротого борта, глушака и ушатанной в хлам подвески этой зимой, на которой ещё два года назад было два брода — вот типичная русская дорога. И ничего не меняется к лучшему.
Вы, видимо, не часто общаетесь с дебилами… Поверьте, многие из них имеют высшее образование, а некоторые и не одно… Программист/экономист, не знающий чем класс отличется от объекта, мне тут буквально на днях глаза мозолил.
Проще для горе-программистов, но никак не для тех несчастных, кому приходится работать с конечным продуктом. Золотое правило обработки ошибок гласит: текст ошибки должен максимально описывать причину возникновения, и, соответственно, способ устранения. Иначе зачем вообще тогда сообщения об ошибках? Можно как в Diablo при модифицировании ресурсов просто выводить всегда 'Oops!'. По крайней мере весело. А «Неизвестная ошибка» с кодом лишь вгоняет в депрессию.
В общем, по любому парни (и девчонки) из МС забыли подумать, когда писали обработки ошибок. Во что это выливается я уже предположил. Скорее всего слишком оптимистично. Весь IT мир теряет колоссальные деньги из-за того, что МС'у было 'проще вывести сообщение с кодом' или какую-нибудь хрень по типу представленной на скриншоте в посте.
Меня всегда интересовал один очень интересный вопрос: ну хорошо, МС не в состоянии сделать так, чтобы критические ошибки не возникали при малейшей оплошности сисадмина (или при определённом положении планет). Ну бывает, на все фирмы хороших программистов не хватает. Но чёрт возьми, неужели так сложно сделать понятные сообщения об ошибках?? Неопознанная ошибка 0хNNN меня последнее время всё чаще побуждает удалить винду со всех доступных мне серверов и десктопов, где она по ужасному стечению обстоятельств ещё осталась.
Я даже представить не могу, сколько миллиардов человекочасов работы IT специалистов МС угрохала из-за совершенно идиотического отношения к простейшим вещам, таким как сообщения об ошибках.
И да, пост ни о чём. Конечно радостно победить ещё один баг винды и записать в копилку своего бесценного опыта ещё один хак, но поскольку таких багов бесконечно много, и смысл их почти всегда один и тот же, то думается не стоит писать о каждом отдельный пост. Лучше потратить время на изучение Linux, Mac OS или FreeBSD в конце концов.
По поводу SMTP без авторизации: опять же, как показывает практика — необходимости в этом не бывает никогда) Шифрование поддерживают не все устройства, да. В этом случае в локалку выставляется SMTP на отдельном порту с авторизацией, но без шифрования. Но авторизацию поддерживают практически все. Те, которые не поддерживают, нужно либо выкинуть (оптимально), либо вынести на отдельный SMTP, в котором в mynetworks прописать конкретные IP адреса (нив коем случае не сети). Накрайняк — конкретные IP можно прописать на основном SMTP. У нас даже столетние RICOH прекрасно живут с авторизацией. Я даже представить себе не могу девайс с возможностью отправки по SMTP, но без авторизации)
А как вы на уровне ACL отсекаете совершенно валидный трафик от клиентов к вашему серверу и от сервера в интернет? Поясню: вот засел на каком-то компе в вашей сети бот. Принципиально он ничем не отличатся от SMTP клиента и отличить на коммутаторе вы его не сможете. Шлёт этот бот через ваш SMTP сервер спам наружу. Как вы его отловите? Я вот не умею такого кунг-фу. Разве что зарезать аномально большой трафик. Но это чревато, да и не тривиально. И вообще — из пушки по воробьям.
Чтобы показать как надо — надо потратить день рабочего времени минимум на написание статьи. Увы, у меня давно уже нету свободных дней(
Я просто вижу стандартные простейшие ошибки и пытаюсь предупредить тех, кто вдруг решит настраивать сервер по этой статье. Как настраивать — дело каждого. Но в любом случае надо понимать каждую строчку конфига — зачем, почему и последствия.
Последствия необдуманного использования mynetworks — спам-рассылка изнутри сети, которая приведёт к попаданию вашего сервера в блок-листы. Я много таких серваков переделывал в своё время. Все такие специалисты — зачем париться, настраивать авторизацию, клиентов и т.д. и т.п., когда можно просто сделать permit_mynetworks?
Зачем? Смысл не в конфигах, а в правильном их описании. Вкорячивать на сервер конфиги, не понимая что и как они конфигурируют — это величайшее зло системного администрирования.
Ёж! Если следовать этой вашей инструкции — получится прекрасный спам-сервер. Блин, банальнейшие детские ошибки:
1. Какой, к лешему, permit_mynetworks для всей локалки?? параметр mynetworks при правильной настройке всегда должен быть пустым. SMTP без авторизации — это абсурд.
2. Туда же — mydestination и alias_maps тоже должны быть пустыми, хотя это и не создаёт проблем, но всё же.
дальше даже читать не хочется. Это не просто очередная обычная статья, это очередная вредная статья на тему как не надо делать. Не стоит настраивать какие-то сервисы взаимодействия с внешним миром не отдавая себе отчёта как они работают и не зная банальнейших вещей, связанных с архитектурой и типичными ошибками.
Много фактических и технических ошибок. Например, накой вам virtual доставка, если используется dovecot? Вообще утверждать, что virtual_mailbox_base и иже с ними нужен для «дружбы» Postfix и Dovecot мягко говоря некорректно. Это вообще никак не связанные вещи.
В результате — очередная (красивая и подробная) статья на тему как я не осилил изучение Postfix и Dovecot. Таких, с такими же ляпами и таким же отсутствием представления о том, как всё это устроено и за что отвечает каждая используемая опция — и вправду навалом. Может, не таких красивых, но всё же.
Если уж пишите статьи, не разобравшись до конца — то хоть вставляйте в них только то, в чём на 100% уверены.
Прочитал преамбулу — подумал что сейчас будет очередная очевидность про абсолютную ненужность Windows Server в большинстве организаций. Оказалось, что очевидность всё же не настолько очевидна. Или не всем.
Немного сомнительно — говорят вроде как о безопасности, но проект не OSS и даже спецификация протокола закрыта. Соответственно ни сторонних серверов, ни альтернативных клиентов — какая, к лешему, безопасность? Построенная на доверии что вот эти клёвые чуваки точно сделали крутой сервис и не украдут мои данные? Хотел пожертвовать, но быстро передумал. Пока не откроют исходники хотя бы сервера и протокола — очередная ненужная хрень.
Крайне разумно по сути, но, увы, неосуществимо по содержанию. Такой крупный IT ресурс не может быть отделён от сосбтвенно IT сообщества и общей ситуации с IT в стране. Поэтому так или иначе проблемы IT сообщества будут ударять по ресурсу. Бороться с этим, ИМХО, вредно, потому что борьба с симптомами может очень быстро уподобить Хабр тому же Роскомнадзору. Бороться надо с корнем проблемы, а не как делают наши придурковатые бандюки в Кремле — с проявлениями. Печально, но с корнем проблемы бороться Хабру практически нечем. Бороться с проявлениями вредно для самого Хабра. Желаю администрации найти разумный баланс, хотя я его и не вижу, и никогда не уподобляться Роскомнадзору и прочим.
В любом случае всё это — вопрос грамотной организации и только. Нарушение законов различными государственными структурами, особенно конституции и особенно правоохранительными органами, категорически недопустимо, ибо это сразу ставит под вопрос легитимность государственного строя. Собственно скорей даже ставит крест на этой легитимности, потому как явное целенаправленное нарушение закона не может сочетаться с легитимностью.
Основная проблема России ещё и в том, что власть не удосуживает себя хотя бы формально соблюдать законы. В США вон какой скандал раздули, а России власть просто декларирует, что ей плевать на законы в угоду своей выгоде и всё тут. Прямо, открыто и не стесняясь заявляет, что власть будет творить то, что хочет, и законность её волнует в последнюю очередь. И такая позиция вообще делает бессмысленным обсуждение конституции и законности. У нас де-факто законно всё, что угодно власти.
Когда подавляющее большинство дорог из деревни А в деревню Б будут приведены в состояние, что по ним можно будет ездить на машине с клиренсом в 10см на скорости хотя бы 60 км в час — тогда можно будет говорить о НОРМАЛЬНЫХ дорогах. Когда скорость повысится до номинальных 90 — о хороших. Пока же в Росии дорог как не было, так и нет.
Я знаю только одно новое шоссе адекватного качества на северо-западе — СПб-Приозерск. И то, его только строят. Все (!) остальные магистрали северо-запада назвать нормальными дорогами невозможно. Ибо больше ни одного нормального шоссе на северо-западе нет. Про обычные дороги молчу. Федеральная трасса Р-1 СПб-Архангельск, стоявшая мне пропоротого борта, глушака и ушатанной в хлам подвески этой зимой, на которой ещё два года назад было два брода — вот типичная русская дорога. И ничего не меняется к лучшему.
Вы случаем не из ПЖиВ?))
В общем, по любому парни (и девчонки) из МС забыли подумать, когда писали обработки ошибок. Во что это выливается я уже предположил. Скорее всего слишком оптимистично. Весь IT мир теряет колоссальные деньги из-за того, что МС'у было 'проще вывести сообщение с кодом' или какую-нибудь хрень по типу представленной на скриншоте в посте.
Я даже представить не могу, сколько миллиардов человекочасов работы IT специалистов МС угрохала из-за совершенно идиотического отношения к простейшим вещам, таким как сообщения об ошибках.
И да, пост ни о чём. Конечно радостно победить ещё один баг винды и записать в копилку своего бесценного опыта ещё один хак, но поскольку таких багов бесконечно много, и смысл их почти всегда один и тот же, то думается не стоит писать о каждом отдельный пост. Лучше потратить время на изучение Linux, Mac OS или FreeBSD в конце концов.
А как вы на уровне ACL отсекаете совершенно валидный трафик от клиентов к вашему серверу и от сервера в интернет? Поясню: вот засел на каком-то компе в вашей сети бот. Принципиально он ничем не отличатся от SMTP клиента и отличить на коммутаторе вы его не сможете. Шлёт этот бот через ваш SMTP сервер спам наружу. Как вы его отловите? Я вот не умею такого кунг-фу. Разве что зарезать аномально большой трафик. Но это чревато, да и не тривиально. И вообще — из пушки по воробьям.
Я просто вижу стандартные простейшие ошибки и пытаюсь предупредить тех, кто вдруг решит настраивать сервер по этой статье. Как настраивать — дело каждого. Но в любом случае надо понимать каждую строчку конфига — зачем, почему и последствия.
Последствия необдуманного использования mynetworks — спам-рассылка изнутри сети, которая приведёт к попаданию вашего сервера в блок-листы. Я много таких серваков переделывал в своё время. Все такие специалисты — зачем париться, настраивать авторизацию, клиентов и т.д. и т.п., когда можно просто сделать permit_mynetworks?
1. Какой, к лешему, permit_mynetworks для всей локалки?? параметр mynetworks при правильной настройке всегда должен быть пустым. SMTP без авторизации — это абсурд.
2. Туда же — mydestination и alias_maps тоже должны быть пустыми, хотя это и не создаёт проблем, но всё же.
дальше даже читать не хочется. Это не просто очередная обычная статья, это очередная вредная статья на тему как не надо делать. Не стоит настраивать какие-то сервисы взаимодействия с внешним миром не отдавая себе отчёта как они работают и не зная банальнейших вещей, связанных с архитектурой и типичными ошибками.
В результате — очередная (красивая и подробная) статья на тему как я не осилил изучение Postfix и Dovecot. Таких, с такими же ляпами и таким же отсутствием представления о том, как всё это устроено и за что отвечает каждая используемая опция — и вправду навалом. Может, не таких красивых, но всё же.
Если уж пишите статьи, не разобравшись до конца — то хоть вставляйте в них только то, в чём на 100% уверены.