Это у вас еще отопление не исчезло, потому, что на улице пока тепло. Ну и продукты питания тоже, потому, что еще на ближайших складах не закончилось. Так, что риск одного и того же главы, сильно больше, чем кажется.
в debian 13 kernel.apparmor_restrict_unprivileged_userns включено из коробки. Хотя debian по умолчанию могут быть менее уязвимы из-за конфигурации ядра, если CONFIG_INET_ESPINTCP не включён. А по умолчанию он НЕ включен.
OpenProject где? Всё там он покрывает, использую бесплатно для ведения своих проектов. Команды у меня от 5 до 15 человек. Хощу его у себя же, на своем домашнем сервере. Аргумент, что у маленькой команды нет своего сервера - не аргумент, так как ВПС стоит копейки, а там еще и гит можно развернуть.
Нет, сам Fail2Ban не работает на уровне ядра. Это userspace-демон, который крутится как обычный процесс и взаимодействует с системой через уже существующие механизмы ядра. По факту, f2b читает логи и на основании их производит какие-то действия. В статье я подвел итог, что "новая" фича не заменяет f2, а дополняет. Тем более, что последний не только с ssh работает.
Если Fail2Ban уже развёрнут, то лучше (имхо) ограничениями управлять централизованно.
в поведении по умолчанию поведение достаточно мягкое, если не тюнить "под себя", то стоит хотя бы не выключать. Хуже не будет, а нагрузку на сервер может снизить, при сильном брутфорсе.
Понимаю. У меня просто спортивный интерес. Я из пачнота сначала вообще не понял про что речь. Потом погуглил немного и не нашёл чего-то, что объяснило весь функционал. Решил разобраться. Так статья и появилась.
можно попробовать на тестовом стенде запустить многопоточный брутфорс при чем с нескольких IP. Но это нужно делать когда сервера физические. Намоем стенде все виртуалки, не думаю, что при таком сетапе эксперимент будет чистым. Так как брут сам по себе будет нагружать ЦПУ, и это может сказаться на подопытной ВМ. Я, кстати, не уверен, что такую нагрузку можно сгенерировать таким способом. Хотя идея привлекательная. Было бы интересно такое реализовать. Ну и как я писал в статье, наличие этой фичи, не означает, что f2b теперь не нужен.
Нет, аутентификация по ключу спасает от того, что пароль всё таки подберут. Но пытаться всё равно будут, так как снаружи не видно пароль у Вас там или ключи.
действительно, лучше как у нас, совсем без прав, одни только скрепы /s
все так. только дядьки не в костюмах, а в форме
нужно выпиливать, но наоборот
автоваз.джипег
Это у вас еще отопление не исчезло, потому, что на улице пока тепло. Ну и продукты питания тоже, потому, что еще на ближайших складах не закончилось. Так, что риск одного и того же главы, сильно больше, чем кажется.
обычные люди сами виноваты. нужно политикой собственной страны интересоваться и участвовать в ней, а то потом, вот так вот получается
пчел не уничтожить, тем более, что вторую пчелиную войну мы так и не получили
нужно не с симптомами бороться, а с болезнью.
меньше, старикам и младенцам они не нужны.
раньше просто не афишировали и продавали молча )
в debian 13 kernel.apparmor_restrict_unprivileged_userns включено из коробки. Хотя debian по умолчанию могут быть менее уязвимы из-за конфигурации ядра, если CONFIG_INET_ESPINTCP не включён. А по умолчанию он НЕ включен.
OpenProject где? Всё там он покрывает, использую бесплатно для ведения своих проектов. Команды у меня от 5 до 15 человек. Хощу его у себя же, на своем домашнем сервере. Аргумент, что у маленькой команды нет своего сервера - не аргумент, так как ВПС стоит копейки, а там еще и гит можно развернуть.
@denis-19
Нет, сам Fail2Ban не работает на уровне ядра. Это userspace-демон, который крутится как обычный процесс и взаимодействует с системой через уже существующие механизмы ядра. По факту, f2b читает логи и на основании их производит какие-то действия.
В статье я подвел итог, что "новая" фича не заменяет f2, а дополняет. Тем более, что последний не только с ssh работает.
в поведении по умолчанию поведение достаточно мягкое, если не тюнить "под себя", то стоит хотя бы не выключать. Хуже не будет, а нагрузку на сервер может снизить, при сильном брутфорсе.
Так ради этого все и делается. Ну и ещё ради очередных звёзд на погонах. Хотя это тоже ради денег.
Спасибо за уточнение, поправил этот момент в статье. Карму, к сожалению, начислить не дает. По этому могу только плюсануть.
Понимаю. У меня просто спортивный интерес. Я из пачнота сначала вообще не понял про что речь. Потом погуглил немного и не нашёл чего-то, что объяснило весь функционал. Решил разобраться. Так статья и появилась.
можно попробовать на тестовом стенде запустить многопоточный брутфорс при чем с нескольких IP. Но это нужно делать когда сервера физические. Намоем стенде все виртуалки, не думаю, что при таком сетапе эксперимент будет чистым. Так как брут сам по себе будет нагружать ЦПУ, и это может сказаться на подопытной ВМ.
Я, кстати, не уверен, что такую нагрузку можно сгенерировать таким способом. Хотя идея привлекательная. Было бы интересно такое реализовать.
Ну и как я писал в статье, наличие этой фичи, не означает, что f2b теперь не нужен.
Нет, аутентификация по ключу спасает от того, что пароль всё таки подберут. Но пытаться всё равно будут, так как снаружи не видно пароль у Вас там или ключи.
Уточняю, ни за сколько не продаю =)