Новичок через месяц уже не вспомнит, что он правил в sshd_config, какие порты открывал в UFW и почему именно так.
Это вопрос дисциплины, и не только для новичка.
Засобирались настраивать сервер - заведите себе ~/Documents/<сервер>_install.txt и записывайте в него лог своих действий. Настраиваете что-то по инструкции из интернета, по handbook или по манам - ну вот и напишите ссылку на источник знаний. Если источником выступает внешний сайт - сохраните локально на всякий случай, или загоните его в archive.org.
Перед изменением sshd_config сделайте cp -p sshd_config sshd_config.<дата>.bak и только потом редактируйте конфиг. Поредактировали - добавте коммент, ну камон, не полагайтесь тупо на память - она не бесконечна.
1) При первом подключении предлагается ответить Yes на вопрос "доверяете ли вы этому серверному ключу". Это хреновый совет т.к. если уже в этот момент времени у вас MitM, то он теперь останется с вами навсегда :-) На самом деле ключ сначала надо проверить и только потом, если он действительно от вашего сервера а не от MitM, тогда ему можно доверять. Эта концептуальная ошибка есть чуть менее чем в каждом руководстве по настройке виртуалок.
2) В статье написано как перейти с входа по паролям на вход по клиентским ключам. Сгенерить и залить на сервер ключ, потом сделать изменения в конфиге сервера:
PasswordAuthentication no PermitRootLogin prohibit-password PubkeyAuthentication yes
Включится ли после этого вход по ключам? Конечно. Это проверяется последующим заходом с ключем. Выключится ли после этого вход по паролям? У меня для вас неприятный сюрприз - это не обязательно. Потому что вход по паролям работает если включена хотя бы одна из следующих опций: PasswordAuthentication или KbdInteractiveAuthentication. Подавляющее большинство статей предписывают отключать PasswordAuthentication но при этом забывают отключить KbdInteractiveAuthentication. В результате вход по паролям не отключается, но мамкин админ об этом не знает т.к. теория в статьях не описана а практической проверки такого отключения админ не делает. В некоторых дистрах KbdInteractiveAuthentication включена по умолчанию, в некоторых других - нет.
3) Отсюда сразу следующий пункт: в статьях часто нет предписания немедленно поменять выданный хостером пароль. Так что пароль лежит в электронной почте и ждет своего часа. То есть вы получаете валяющийся в почте в открытом виде рутовый пароль плюс недовыключенный вход по паролям из предыдущего пункта. Прекрасная дыра в безопасности. Конкретно в этой статье эта дыра закрыта директивой PermitRootLogin prohibit-password но я уже насмотрелся статей в которых этого нет.
4) В настройках фаерволла режутся входящие TCP соединения но никак не предпринимается никаких попыток убедиться в том, что наружу не выставлено что-нибудь с UDP. Там может обнаружиться какой-нибудь унылый syslogd.
5) Конкретно в этой статье творится какое-то безумие с sudo. Если хостер вам выдал рутовый логин-пароль и вы действительно работатете под рутом, то зачем вам далее по тексту sudo? А если вы все же работаете под другим юзером, то у вас не написано ничего про создание этого юзера и его последующее добавление в sudoers.
Неа. Есть концептуальные ошибки, которые напрямую могут привести к компрометации сервера прямо с первой минуты его работы. Эти ошибки просто копипастят из предыдущих статей, такчто имеем что имеем.
Если у него все изъяли, то на какие средства он оплачивает проживание чтобы сидеть под домашним арестом ?
В США домашний арест не обязательно означает круглосуточную физичекую изоляцию по месту жительства. В приципе возможны и часто происходят такие ситуации, когда подопечный имеет право ездить на работу в офис, ходить по магазинам, но не имеет права покидать определенный периметр днем или вылезать из жилья ночью.
В тексте не упомянуто самое важное. Оба случая поизошли уже после того, как была расчитана, построена и успешно испытана первая атомная бомба. То сеть эти два персонажа занимаются в своих лобораториях странными экспериментами с девайсом, разрушительные возможности которого к этому моменту времени уже прекрасно известны.
Он не "не отвечает". Его просто нет - такое доменное имя просто не существует :-)
ЗЫ Возможно, это внутреннее доменное имя для сотрудников компании и наружу оно не выходит. В таком случае у написавшиего статью сотрудника все работает а у клиентов снаружи - ничего не видно.
Подключение к новому провайдеру потребует заново тянуть кабель, а у нас уже сделан ремонт.
Для подключения нужно запланировать визит мастера, а для этого нужно отпрашиваться с работы.
Соединительная муфта делает ненужным новый кабель в квартире - можно использовать уже имеющийся от старого провайдера. Муфта копейки стоит.
Мастер может и в выходной приехать - это у них обычный сценарий развития событий.
Нет уверенности, что новый провайдер сможет предложить более качественную услугу.
Если что-то пойдёт не так, будет сложно вернуться к существующему провайдеру (тут речь, по всей видимости, идёт об ограничениях на повторное подключение, которое есть в договорах у некоторых провайдеров. Что-то типа: если вы отключаете и разрываете договор по собственной инициативе, повторное подключение возможно не ранее чем через полгода).
При наличии муфты предыдущий провайдер вообще ничего не заметит и вернуться к нему от следующего вы можете самостоятельно за 5 минут, никого ни о чем не спрашивая.
Какого такого робота вы ожидали от компании, у которой в штате заявлено 10 сотрудников а основным видом деятельности заявлено 82.30 Деятельность по организации конференций и выставок ? Ну камон...
Традиционные меры поддержки рождаемости, не могут исправить ситуацию. Ни одной стране это не удалось
Это очень даже удалось в Румынии в 1968-1970 годах. Вот на этой диаграмме посмотрите количество населения в возрасте 56 лет - это как раз результат тогдашних усилий государства.
Проблема не в том, что бы сегодня замотивировать население родить +один миллион детей. Проблема в том, что с этим миллионом детей будет дальше, примерно лет через 20 после рождения. В Румынии +один миллион таких детей распихали по детдомам тюремного типа. И через 20 лет получился +один миллион молодых озлобленных необразованных безработных, которые в качестве благодарности взяли инициатора этой вот рожальной реформы и расстреляли его хорошенько.
«Викимедиа» не угрожает штрафами или судебными преследованиями за использование материалов путём парсинга. Фонд отметил, что ИИ-боты парсили сайт энциклопедии, пытаясь выглядеть как люди.
Ересь какая-то. Википедия два раза в месяц выкладывает полный дамп своей базы в открытый доступ. Из дампа реально можно восстановить все сразу и не надо заниматься парсингом, пытаясь выглядеть как люди.
Это вопрос дисциплины, и не только для новичка.
Засобирались настраивать сервер - заведите себе ~/Documents/<сервер>_install.txt и записывайте в него лог своих действий. Настраиваете что-то по инструкции из интернета, по handbook или по манам - ну вот и напишите ссылку на источник знаний. Если источником выступает внешний сайт - сохраните локально на всякий случай, или загоните его в archive.org.
Перед изменением sshd_config сделайте cp -p sshd_config sshd_config.<дата>.bak и только потом редактируйте конфиг. Поредактировали - добавте коммент, ну камон, не полагайтесь тупо на память - она не бесконечна.
Это смотря чего делать. Минимальщики на стройках и на производстве в принципе бывают. Минималка минус налоги как раз и дадут 15 на руки.
1) При первом подключении предлагается ответить Yes на вопрос "доверяете ли вы этому серверному ключу". Это хреновый совет т.к. если уже в этот момент времени у вас MitM, то он теперь останется с вами навсегда :-) На самом деле ключ сначала надо проверить и только потом, если он действительно от вашего сервера а не от MitM, тогда ему можно доверять. Эта концептуальная ошибка есть чуть менее чем в каждом руководстве по настройке виртуалок.
2) В статье написано как перейти с входа по паролям на вход по клиентским ключам. Сгенерить и залить на сервер ключ, потом сделать изменения в конфиге сервера:
PasswordAuthentication noPermitRootLogin prohibit-passwordPubkeyAuthentication yesВключится ли после этого вход по ключам? Конечно. Это проверяется последующим заходом с ключем. Выключится ли после этого вход по паролям? У меня для вас неприятный сюрприз - это не обязательно. Потому что вход по паролям работает если включена хотя бы одна из следующих опций: PasswordAuthentication или KbdInteractiveAuthentication. Подавляющее большинство статей предписывают отключать PasswordAuthentication но при этом забывают отключить KbdInteractiveAuthentication. В результате вход по паролям не отключается, но мамкин админ об этом не знает т.к. теория в статьях не описана а практической проверки такого отключения админ не делает. В некоторых дистрах KbdInteractiveAuthentication включена по умолчанию, в некоторых других - нет.
3) Отсюда сразу следующий пункт: в статьях часто нет предписания немедленно поменять выданный хостером пароль. Так что пароль лежит в электронной почте и ждет своего часа. То есть вы получаете валяющийся в почте в открытом виде рутовый пароль плюс недовыключенный вход по паролям из предыдущего пункта. Прекрасная дыра в безопасности. Конкретно в этой статье эта дыра закрыта директивой
PermitRootLogin prohibit-passwordно я уже насмотрелся статей в которых этого нет.4) В настройках фаерволла режутся входящие TCP соединения но никак не предпринимается никаких попыток убедиться в том, что наружу не выставлено что-нибудь с UDP. Там может обнаружиться какой-нибудь унылый syslogd.
5) Конкретно в этой статье творится какое-то безумие с sudo. Если хостер вам выдал рутовый логин-пароль и вы действительно работатете под рутом, то зачем вам далее по тексту sudo? А если вы все же работаете под другим юзером, то у вас не написано ничего про создание этого юзера и его последующее добавление в sudoers.
Неа. Есть концептуальные ошибки, которые напрямую могут привести к компрометации сервера прямо с первой минуты его работы. Эти ошибки просто копипастят из предыдущих статей, такчто имеем что имеем.
В США домашний арест не обязательно означает круглосуточную физичекую изоляцию по месту жительства. В приципе возможны и часто происходят такие ситуации, когда подопечный имеет право ездить на работу в офис, ходить по магазинам, но не имеет права покидать определенный периметр днем или вылезать из жилья ночью.
Я просто оставлю это здесь:
https://en.wikipedia.org/wiki/Pay_it_forward
Есть ещё хороший фильм на эту тему - Pay it forward (2000).
В тексте не упомянуто самое важное. Оба случая поизошли уже после того, как была расчитана, построена и успешно испытана первая атомная бомба. То сеть эти два персонажа занимаются в своих лобораториях странными экспериментами с девайсом, разрушительные возможности которого к этому моменту времени уже прекрасно известны.
Он не "не отвечает". Его просто нет - такое доменное имя просто не существует :-)
ЗЫ Возможно, это внутреннее доменное имя для сотрудников компании и наружу оно не выходит. В таком случае у написавшиего статью сотрудника все работает а у клиентов снаружи - ничего не видно.
Если использовать 32-битный счетчик секунд, то его хватит только до 2038 года.
https://ru.wikipedia.org/wiki/Проблема_2038_года
Это расширение - не VPN. От VPN у него только часть названия.
Соединительная муфта делает ненужным новый кабель в квартире - можно использовать уже имеющийся от старого провайдера. Муфта копейки стоит.
Мастер может и в выходной приехать - это у них обычный сценарий развития событий.
При наличии муфты предыдущий провайдер вообще ничего не заметит и вернуться к нему от следующего вы можете самостоятельно за 5 минут, никого ни о чем не спрашивая.
15К это чуть больше половины от федерального МРОТ (с 1.1.26 МРОТ=27_093). Региональный МРОТ может быть больше федерального, но не может быть меньше.
В американских школах еще и черная доска есть, но она обычно зеленая, а после школы потом на офисной работе вообще превращается в белую доску.
Через сеть самого сотового оператора, какие проблемы?
Для собеседований.
На ему подобных фетишей есть занимательный фильм Ларс и настоящая девушка / Lars and the Real Girl (2007).
Какого такого робота вы ожидали от компании, у которой в штате заявлено 10 сотрудников а основным видом деятельности заявлено 82.30 Деятельность по организации конференций и выставок ? Ну камон...
Я просто оставлю это здесь:
https://www.youtube.com/watch?v=ALkFaYKkA70
Это очень даже удалось в Румынии в 1968-1970 годах. Вот на этой диаграмме посмотрите количество населения в возрасте 56 лет - это как раз результат тогдашних усилий государства.
Проблема не в том, что бы сегодня замотивировать население родить +один миллион детей. Проблема в том, что с этим миллионом детей будет дальше, примерно лет через 20 после рождения. В Румынии +один миллион таких детей распихали по детдомам тюремного типа. И через 20 лет получился +один миллион молодых озлобленных необразованных безработных, которые в качестве благодарности взяли инициатора этой вот рожальной реформы и расстреляли его хорошенько.
Ересь какая-то. Википедия два раза в месяц выкладывает полный дамп своей базы в открытый доступ. Из дампа реально можно восстановить все сразу и не надо заниматься парсингом, пытаясь выглядеть как люди.