ну это вроде от конструкции вентилятора зависит, сама коробка непричем… Это «особенности» реализации воздуховодов в новостройках, у мня такая же фигня, одна дырка тянет наружу, вторая внутрь. Да и дороговатая она получается по отношению к упомянутому ниже готовому решению. Тут у меня только коробка получилась гдето 2800.
в продакшене на 775? Ну ок.
В моих личных маленьких продакшенах я и программист и админ, если уж на то пошло… Но и даже в дев окружении выставляю сразу правильные права, чтобы потом не париться и тот самый продакшен не ломать при деплое.
>> У моего знакомого регулярно ругается на права при установке
так может с правами лучше разобраться? не думаю, что там rocket science
>> приводит в норму ситуацию с правами на папки.
… и делает все файл исполняемыми… с полным доступом кому угодно…
Зачем плохому учить? Потом так в продакшен и будут выкладывать… и как результат: welcome to botnet?
Ну в случае пользователя с именем не root сложность брута увеличивается в разы, ибо прежде чем брутить пароль надо убедиться, что пользователь в системе есть.
В таком случае для меня так же непонятно зачем логиниться на сервер сразу под рутом? Подобрать пароль для рута при том, что логин по ssh под root запрещен, так же импоссибле, как и вход под рутом вообще — скомпрометирован пароль или нет. Может быть Вам так удобнее, мне удобнее так. Я считаю, если пароль есть, то его можно подобрать (пусть даже за 100 миллионов лет :) ), если вход запрещен, то… В любом случае это ИМХО
>> Инфицирование начинается с попытки брут-форса SSH, используя логин root.
Как минимум тут уже написан ответ. А дальше уже зависит от уровня паранойи и продвинутости «сисадмина». Отключения входа по паролю, ограничения по IP, knock-knock, мониторинг адресов с которых идет брутфорс (хотябы fail2ban)… Ну это первое что в голову пришло.
Но самое главное — отключение входа по ssh для root.
Сначала сибирский мегавирус, теперь блоха с чумой… Помоему мы не от 3ей мировой умрем или от ядерного оружия, а от какого-то древнего вируса :( Еще осталось привезти вирус с какой-нить исследуемой планеты, а то местные чего-то не вставляют :)
Покупал себе в китае монстры studio pro, вполне доволен и качеством и ценой (2 года назад, стоили 48$ или ~1500руб), ничем от тех, что тогда были за 13к в магазине не отличались, даже упаковка и аксессуары теже :) видимо «ночная смена» на том же заводе делала или ЗП ими заплатили. Но вот дужка сломалась около болтов, а новая стоит почти 2к в том же китае.
Может быть я чтото упускаю из виду, но под правильно настроенным фаерволом я имел ввиду, что коннекты на порты, в данном случае, должны быть доступны только для определенного списка IP адресов, так же как и морда должны быть доступна только для определенного списка. Так же как и snmp. Меня учили, что наружу должны смотреть только те порты, которые должны быть публичными, все остальное — нет. Поэтому первое, что я настраиваю на сервере это фаерволл.
зыж вообще это все мне напоминает статьи про настройку elasticsearch, в которых про безопасность ни слова, зато в комментариях почемуто задают вопросы «а что с этим делать?». И вот именно такие люди/сервера потом и попадают в shodan. А ведь самое простое решение это просто закрыть порты фаерволлом.
ззыж возможно в OpenShift не все так просто, не работал с ним — не знаю.
В моих личных маленьких продакшенах я и программист и админ, если уж на то пошло… Но и даже в дев окружении выставляю сразу правильные права, чтобы потом не париться и тот самый продакшен не ломать при деплое.
так может с правами лучше разобраться? не думаю, что там rocket science
>> приводит в норму ситуацию с правами на папки.
… и делает все файл исполняемыми… с полным доступом кому угодно…
Зачем плохому учить? Потом так в продакшен и будут выкладывать… и как результат: welcome to botnet?
Как минимум тут уже написан ответ. А дальше уже зависит от уровня паранойи и продвинутости «сисадмина». Отключения входа по паролю, ограничения по IP, knock-knock, мониторинг адресов с которых идет брутфорс (хотябы fail2ban)… Ну это первое что в голову пришло.
Но самое главное — отключение входа по ssh для root.
зыж вообще это все мне напоминает статьи про настройку elasticsearch, в которых про безопасность ни слова, зато в комментариях почемуто задают вопросы «а что с этим делать?». И вот именно такие люди/сервера потом и попадают в shodan. А ведь самое простое решение это просто закрыть порты фаерволлом.
ззыж возможно в OpenShift не все так просто, не работал с ним — не знаю.