По nftables:
Есть сведения от firewalld тут и тут чуть больше тут По google auth Да, вы правы. У себя мы сделали чуть по другому мы проверяем если в личной папке пользователя есть сформированный файл .google_authenticator то pam использует 2FA если нет, то просто авторизация по связке логин+пароль. И потихоньку генерили qr и рассылали пользователям.
Я и сам не в восторге от этой идеи. Добавили 2 этап авторизации для повышения безопасности и защиты от брута. Задача была срочная и связана с обеспечением работы предприятия в форс-мажорной ситуации.
Да ничем, просто привычка свежие версии по на тестовом стенде всегда собирать из исходников. В статье я хотел осветить новые возможности появившиеся в связке nginx 1.11.0+openssl 1.0.2g, и я надеюсь, что статью не будут использовать как пошаговое руководство при пром. внедрении.
Постараюсь пояснить:
В строке директиве ssl_ciphers с лева на право перечисляются допустимые алгоритмы шифрования. В данном случае самым приоритетным (левым) указан алгоритм GOST2001-GOST89-GOST89, далее указаны алгоритмы HIGH — это ключевое слово указывает алгоритмы с длиной ключа более 128 бит, и MEDIUM — алгоритмы с длиной ключа 128 бит. Получается, что сначала NGINX предложит построить https соединение по ГОСТ, если отказались то RSA-like.
Не задумываясь могу сказать, что браузеры использующие библиотеки openssl должны поддерживать ГОСТ сертификаты. А так же есть такой продукт как КриптоПРО Fox
Есть сведения от firewalld тут и тут чуть больше тут
По google auth Да, вы правы. У себя мы сделали чуть по другому мы проверяем если в личной папке пользователя есть сформированный файл .google_authenticator то pam использует 2FA если нет, то просто авторизация по связке логин+пароль. И потихоньку генерили qr и рассылали пользователям.
Я и сам не в восторге от этой идеи. Добавили 2 этап авторизации для повышения безопасности и защиты от брута. Задача была срочная и связана с обеспечением работы предприятия в форс-мажорной ситуации.
Подскажите а контролееры работают Active-Active? Возможен ли интерфейс FC?
В строке директиве ssl_ciphers с лева на право перечисляются допустимые алгоритмы шифрования. В данном случае самым приоритетным (левым) указан алгоритм GOST2001-GOST89-GOST89, далее указаны алгоритмы HIGH — это ключевое слово указывает алгоритмы с длиной ключа более 128 бит, и MEDIUM — алгоритмы с длиной ключа 128 бит. Получается, что сначала NGINX предложит построить https соединение по ГОСТ, если отказались то RSA-like.