Версия 7.5 — уже старая. Последний релиз — 7.11. Об этом стоило бы упомянуть.
Билдить свои контейнеры только чтобы добавить в них конфиги — это моветон.
Билдить контейнеры есть смысл, если вы хотите добавить плагины, а так — правильно взять готовые официальные контейнеры у Elastic и примонтировать свои конфиги.
Непонятно зачем нужен Logstash, когда логи можно слать напрямую из Filebeat в Elastic.
Ну то есть в качестве упражнения и чтобы «поковыряться» это всё можно, но в реальной жизни так не делают.
Учитывая, что у Гугла есть свой cloud (GCP) в котором хостятся множество сайтов и сёрвисов, то понятие «трафик Гугла» — понятие размытое: вот есть мой сайт хостится в их cloud — это их траффик? Или мой?
Почему этот вопрос важен: мы уже поняли, что AppStore — это их, и кого не надо они из маркета выкидывают (также как и Apple). Вот теперь также будут говорить, что кабель — это их, и мой траффик они туда не пустят…
Я не дата-сатанист. Но есть интерес к теме, и желание использовать какие-то готовые инструменты.
Так вот, из личного опыта:
1) Elastic SIEM
Есть несколько сайтов. Они постоянно сканируются (атакуются), но взломов не было.
На защищаемую системы ставится несколько битов (auditbeat, metricbeat...), они шлют информацию (логи, метрики) на сервер, а там ML пытается увидеть признаки атак, и может слать алёрты.
По факту, в Dashboard были иногда не очень релевантные сообщения, ничего не обнаружено.
Если глубоко погрузиться, то может и можно оттюнить систему…
2) Synology Router RT2600ac
Этот роутер стоит дома. «Защищает» домашнюю сеть.
По факту: блокирует нормальные, валидные запросы. Постоянно приходят алёрты, что кто-то куда-то ходит, а когда разбираешься — то это нормальные запросы. То есть много фальш-позитивов.
Реально, что работает — это чёрные списки. Ну чтобы на планшетах, которые дал детям не пускать их на фэйсбуки и т.д… Но это, конечно не ML.
Самые лучшие инструменты защиты:
На Линуксе — это fail2ban (в основном для SSH logins, но и для всего остального)
На Винде — это github.com/DigitalRuby/IPBan (в основном для RDP, но и всего остального)
Они простые, без ML, но работают надёжно
Последний раз я пробовал OpenDistro полгода назад.
Тогда это была старая версия Elastic'a (отставал где-то на полгода), но были добавлены некоторые плюшки, за которые в Elastic надо платить. Я в частности ставил ради Alert. Но Alerts в OpenDistro было сделано весьма примитивно и топорно. Так что тогда мне OpenDistro «не зашёл»…
Обычно проблема возникает когда чего-то нет. А по вашему, у Mint преимущество потому что у неё snap нет. Почему это важно? Чем он мешает? Можно же его и на Ubuntu не использовать? Или я неправ?
Я вот пару месяцев назад решил потихоньку перебираться на Linux.
Начал с того, что поставил Ubuntu 20.10 Desktop. В общем, неплохо, но интерфейс как будто недостаточно «вылизан». Windows Explorer чуть более «полон». Ну и вообще Desktop UI. Хотя это конечно немного субъективно.
Так вот вопрос — чем Mint лучше Ubuntu? Правильно ли я понимаю, что Mint чуть более «вылизан», т.е. вот эти все мелочи описанные в статье? Или есть какие-то принципильные отличия?
Как-то я чувствую себе немного потеряным во всех этих дистрибутивах. А у них у всех ещё есть выбор этих оболочек (GNOME, Xfce, MATE, MATE ...) — запутывает ещё больше. И вот в этой статье есть вещи названые «оболочкой», и есть «рабочий стол» — это одно и то же и это разные вещи?
Новый вид окна GIT стал неудобный.
Я думал, может привыкну, но за несколько месяцев я так и не оценил преимуществ нового способа.
Теперь всегда возвращаю старый способ.
Как-то у меня был VPS c Ubuntu, Nginx, PHP на котором было штук 10 сайтов на WordPress. Один из этих сайтов взломали, что-то запустили на системе, компроментированным стали несколько сайтов. Теперь я держу каждый сайт в отдельном Docker контейнере и в случае взлома — остальные сайты компроментированы не будут.
Будет ли верным сказать, что контейнеры (например Docker), могут решить те же проблемы, что и SELinux / AppArmor?
Или этот же вопрос по другому: может ли AppArmor предоставить защиту лучше, чем Docker?
С Docker'ом я разобрался за час. Приятная технология. А вот AppArmor как-то выглядит довольно мутно, и вникать не хочется. А SELinux — ещё хуже.
В даунтаунте сейчас так же как и раньше толпы бомжей, пункты «безопасного» приёма наркотиков и т.д.
Причём даже, когда выпустили провинциальные ограничения, что «всем сидеть дома», и там есть и список исключений, то бомжи — вот в списке исключений. Оно как бы и логично — дома-то у них нет, но и показательно.
Впрочем в Сиэттле то же самое.
Отличие сейчас в том, что нормальные люди сейчас сидят по домам и в даунтаун на работу не ездят.
Я живу 2 года тут в Ванкувере.
В общем неплохо тут.
Но из-за того, что зарплаты программистов тут приблизительно в 2 раза ниже чем в США, при такой же стоимости жизни, то у меня сложилось впечатление, что половина иммигрантов-программистов рассматривают жизнь в Канаде, как ступеньку на которую надо подняться, чтобы при первой возможности потом уехать в США. Что в общем-то и логично. Потому что иммиграция в США из большинства стран — это очень и очень непросто, а для канадцев иммигрировать в США — намного проще (виза TN).
Так в статье как раз и продвигается идея, что видео не сливается в облако, а остаётся на месте.
В этом контексте P2P означает, что по интернету передаётся только те отрезки, на которые вы хотите посмотреть глазами, что обычно является маленькой частью всего видео траффика.
Статья как-то мутно написана: букв много, много маркетинга, а понятно мало.
Это какой-то инструмент для автоматизации desktop applications?
Может тогда напишите, как он в сравнении с открытым и бесплатным Appium? appium.io/docs/en/drivers/windows
Не могли бы вы добавить немного подробностей о том, как работает P2P?
Пробиваете NAT? Или нужно пробрасывать порты на роутере? Используется ли какой-то внешний сервер для координации?
NextCloud начинался как довольно несложный web app хранения файлов, а теперь вырос в огромного монстра, который хочет уметь всё.
Из личного опыта:
— При upgrade постоянно вылазиют проблемы, из-за который система становится нерабочей. Приходится вручную копаться в DB, конфигах… Их форум полон вопросами в стиле: запустил upgade и теперь ничего не работает, помогите!
— Прикрутить офисный app для редактирования документов — весьма нетривиальное занятие. Я правда работал не с Collabora, а с OnlyOffice. И оно даже заработало, но при первом же upgrade всё слетело, а починить я так и не осилил. Там взаимодействие контейнеров, настройки DNS, конфиги программ, конфиги веб-серверов в разных местах…
— NextCloud — весьма тормознутая система. Причём я ставил и на SSD, и Redis cache — но этот монстр никак не хочет шустро шевелится. Просмотр фотогалерей из браузера — в разы медленней, чем если просто сгрузить себе все полноразмерные (!) фото и смотреть локально. Генератор thumbnail может работать сутками и после него всё равно всё медленно.
В общем, чтобы управляться с этой системой надо быть админом 80-го уровня и тратить очень много времени.
В лицензии Elasticsearch уровня Gold… расширяются возможности алертинга
Расширяются? Без Gold никакого алертинга нету.
Бесплатный Elast Alert к Elasticsearch не относится — это постороннее поделие. Весьма и весьма глючное. Надеешься, что Elast Alert будет присылать тебе алерты, а он сам подвисает регулярно.
Есть вот такие переменные: fastcgi_param HTTPS $https if_not_empty;
fastcgi_param SERVER_PORT $server_port;
И обычно всё работает.
Сложности возникают, если используется reverse proxy, в котором обслуживается HTTPS спереди того nginx в котором хостится сам сайт.
Например у меня было несколько сайтов, — каждый в своём Докер-контейнере по HTTP. А в Интернет это публиковалось с помощью прокси jwilder/nginx-proxy + letsencrypt-nginx-proxy-companion
Угадайте, что будет в fastcgi_param HTTPS? И в fastcgi_param SERVER_PORT?
Там будет HTTP и порт 80.
И Wordpress будет вам отдавать кривые redirect ссылки что-то типа HTTPS://web.site:80.
Я это решал тем, что прописывал порт прямо в конфиге, и убирая fastcgi_param HTTPS:
Бывает, что если IPv6 есть, но сервисы слушают только на IPv4,
То клиенты подключаются сначала по IPv6 и ждут. И только когда отваливаются по timeout — то уже пробуют по IPv4.
Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение.
Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.
Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.
Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.
Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
Билдить свои контейнеры только чтобы добавить в них конфиги — это моветон.
Билдить контейнеры есть смысл, если вы хотите добавить плагины, а так — правильно взять готовые официальные контейнеры у Elastic и примонтировать свои конфиги.
Непонятно зачем нужен Logstash, когда логи можно слать напрямую из Filebeat в Elastic.
Ну то есть в качестве упражнения и чтобы «поковыряться» это всё можно, но в реальной жизни так не делают.
Почему этот вопрос важен: мы уже поняли, что AppStore — это их, и кого не надо они из маркета выкидывают (также как и Apple). Вот теперь также будут говорить, что кабель — это их, и мой траффик они туда не пустят…
Так вот, из личного опыта:
1) Elastic SIEM
Есть несколько сайтов. Они постоянно сканируются (атакуются), но взломов не было.
На защищаемую системы ставится несколько битов (auditbeat, metricbeat...), они шлют информацию (логи, метрики) на сервер, а там ML пытается увидеть признаки атак, и может слать алёрты.
По факту, в Dashboard были иногда не очень релевантные сообщения, ничего не обнаружено.
Если глубоко погрузиться, то может и можно оттюнить систему…
2) Synology Router RT2600ac
Этот роутер стоит дома. «Защищает» домашнюю сеть.
По факту: блокирует нормальные, валидные запросы. Постоянно приходят алёрты, что кто-то куда-то ходит, а когда разбираешься — то это нормальные запросы. То есть много фальш-позитивов.
Реально, что работает — это чёрные списки. Ну чтобы на планшетах, которые дал детям не пускать их на фэйсбуки и т.д… Но это, конечно не ML.
Самые лучшие инструменты защиты:
На Линуксе — это fail2ban (в основном для SSH logins, но и для всего остального)
На Винде — это github.com/DigitalRuby/IPBan (в основном для RDP, но и всего остального)
Они простые, без ML, но работают надёжно
Тогда это была старая версия Elastic'a (отставал где-то на полгода), но были добавлены некоторые плюшки, за которые в Elastic надо платить. Я в частности ставил ради Alert. Но Alerts в OpenDistro было сделано весьма примитивно и топорно. Так что тогда мне OpenDistro «не зашёл»…
Обычно проблема возникает когда чего-то нет. А по вашему, у Mint преимущество потому что у неё snap нет. Почему это важно? Чем он мешает? Можно же его и на Ubuntu не использовать? Или я неправ?
Начал с того, что поставил Ubuntu 20.10 Desktop. В общем, неплохо, но интерфейс как будто недостаточно «вылизан». Windows Explorer чуть более «полон». Ну и вообще Desktop UI. Хотя это конечно немного субъективно.
Так вот вопрос — чем Mint лучше Ubuntu? Правильно ли я понимаю, что Mint чуть более «вылизан», т.е. вот эти все мелочи описанные в статье? Или есть какие-то принципильные отличия?
Как-то я чувствую себе немного потеряным во всех этих дистрибутивах. А у них у всех ещё есть выбор этих оболочек (GNOME, Xfce, MATE, MATE ...) — запутывает ещё больше. И вот в этой статье есть вещи названые «оболочкой», и есть «рабочий стол» — это одно и то же и это разные вещи?
Я думал, может привыкну, но за несколько месяцев я так и не оценил преимуществ нового способа.
Теперь всегда возвращаю старый способ.
Будет ли верным сказать, что контейнеры (например Docker), могут решить те же проблемы, что и SELinux / AppArmor?
Или этот же вопрос по другому: может ли AppArmor предоставить защиту лучше, чем Docker?
С Docker'ом я разобрался за час. Приятная технология. А вот AppArmor как-то выглядит довольно мутно, и вникать не хочется. А SELinux — ещё хуже.
Как пишет Wiki во всей IT-индустрии в провинции работает 15 000 человек. Как-то не очень много…
Причём даже, когда выпустили провинциальные ограничения, что «всем сидеть дома», и там есть и список исключений, то бомжи — вот в списке исключений. Оно как бы и логично — дома-то у них нет, но и показательно.
Впрочем в Сиэттле то же самое.
Отличие сейчас в том, что нормальные люди сейчас сидят по домам и в даунтаун на работу не ездят.
В общем неплохо тут.
Но из-за того, что зарплаты программистов тут приблизительно в 2 раза ниже чем в США, при такой же стоимости жизни, то у меня сложилось впечатление, что половина иммигрантов-программистов рассматривают жизнь в Канаде, как ступеньку на которую надо подняться, чтобы при первой возможности потом уехать в США. Что в общем-то и логично. Потому что иммиграция в США из большинства стран — это очень и очень непросто, а для канадцев иммигрировать в США — намного проще (виза TN).
В этом контексте P2P означает, что по интернету передаётся только те отрезки, на которые вы хотите посмотреть глазами, что обычно является маленькой частью всего видео траффика.
Это какой-то инструмент для автоматизации desktop applications?
Может тогда напишите, как он в сравнении с открытым и бесплатным Appium?
appium.io/docs/en/drivers/windows
Пробиваете NAT? Или нужно пробрасывать порты на роутере? Используется ли какой-то внешний сервер для координации?
Из личного опыта:
— При upgrade постоянно вылазиют проблемы, из-за который система становится нерабочей. Приходится вручную копаться в DB, конфигах… Их форум полон вопросами в стиле: запустил upgade и теперь ничего не работает, помогите!
— Прикрутить офисный app для редактирования документов — весьма нетривиальное занятие. Я правда работал не с Collabora, а с OnlyOffice. И оно даже заработало, но при первом же upgrade всё слетело, а починить я так и не осилил. Там взаимодействие контейнеров, настройки DNS, конфиги программ, конфиги веб-серверов в разных местах…
— NextCloud — весьма тормознутая система. Причём я ставил и на SSD, и Redis cache — но этот монстр никак не хочет шустро шевелится. Просмотр фотогалерей из браузера — в разы медленней, чем если просто сгрузить себе все полноразмерные (!) фото и смотреть локально. Генератор thumbnail может работать сутками и после него всё равно всё медленно.
В общем, чтобы управляться с этой системой надо быть админом 80-го уровня и тратить очень много времени.
Там стоит postmarketOS, которая на базе Alpine.
Аппарат весьма тормозной.
Клавиатура по USB заработала, а монитор по HDMI — нет.
Софта практическо никакого нет.
Надо будет вытащить его, попробовать накатить KDE, посмотреть, как оно…
Расширяются? Без Gold никакого алертинга нету.
Бесплатный Elast Alert к Elasticsearch не относится — это постороннее поделие. Весьма и весьма глючное. Надеешься, что Elast Alert будет присылать тебе алерты, а он сам подвисает регулярно.
А этот Gold стоит несколько тысяч $$$
Есть вот такие переменные:
fastcgi_param HTTPS $https if_not_empty;
fastcgi_param SERVER_PORT $server_port;
И обычно всё работает.
Сложности возникают, если используется reverse proxy, в котором обслуживается HTTPS спереди того nginx в котором хостится сам сайт.
Например у меня было несколько сайтов, — каждый в своём Докер-контейнере по HTTP. А в Интернет это публиковалось с помощью прокси jwilder/nginx-proxy + letsencrypt-nginx-proxy-companion
Угадайте, что будет в fastcgi_param HTTPS? И в fastcgi_param SERVER_PORT?
Там будет HTTP и порт 80.
И Wordpress будет вам отдавать кривые redirect ссылки что-то типа HTTPS://web.site:80.
Я это решал тем, что прописывал порт прямо в конфиге, и убирая fastcgi_param HTTPS:
#fastcgi_param HTTPS $https if_not_empty;
fastcgi_param SERVER_PORT 443;
Бывает, что если IPv6 есть, но сервисы слушают только на IPv4,
То клиенты подключаются сначала по IPv6 и ждут. И только когда отваливаются по timeout — то уже пробуют по IPv4.
Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.
Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.
Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.