- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не нужно в принципе говорить о входе по паролю :) Только по ключу.
Да это ничего не меняет принципиально, когда мы рассматриваем гипотетическую ситуацию появления нового способа обхода авторизации как таковой. Будешь в списках - падешь первым.
за последние полгода смена порта помогать перестала, три раза меняла, все равно находят,
причем сервера в разных ДЦ, разные AS, даже на домашний роутер ломятся
реальный вариант избавиться от ботов-долбанавтов - белые списки IP, радикально.
Сменить, чтобы логи были чистые.
Поставить Portsentry, чтобы банило от одного прикосновения любопытных к любым неположенным портам.
Сложный пароль и fail2ban и пусть долбятся. Мне лично ничем не мешают. Чтобы подобрать пароль надо пару тысячелетий наверно.
Хотя если будет способ обхода авторизации. Пойду порт поменяю и Portsentry поставлю. Паранойя вещь полезная :)
Не нужно в принципе говорить о входе по паролю :) Только по ключу.
Полностью поддерживаю. Создаете вход по сертификату и ровно пофиг, какой там порт ssh, пусть остается дефолтный 22. На AWS именно так изначально, проблем ни малейших. Всем рекомендую, кто хочет работать грамотно, так как вопроса здесь нет, на мой взгляд. А кому лениво - развлекайтесь с fail2ban и тому подобное.
Полностью поддерживаю. Создаете вход по сертификату и ровно пофиг, какой там порт ssh, пусть остается дефолтный 22. На AWS именно так изначально, проблем ни малейших. Всем рекомендую, кто хочет работать грамотно, так как вопроса здесь нет, на мой взгляд. А кому лениво - развлекайтесь с fail2ban и тому подобное.
А хранить ключи на винте, это "грамотно"? Или у вас токен аппаратный?
А хранить ключи на винте, это "грамотно"?
Это нормально, потому как
1. для приватного ключа нужен еще и пароль
2. если локальный тазик все же поимели до шелла, то файл ключа у "хацкера" - самая минимальная из проблем, кои вы заимели на тухес
А хранить ключи на винте, это "грамотно"? Или у вас токен аппаратный?
Уже не впервые прикалывает уровень технических вопросов на серче; не столько сам их контекст, ибо учиться никогда не поздно... сколько некая эмоциональность, в них вкладываемая. Ни дать ни взять второй ЛОР, отношение к которому технических специалистов, кажется, вполне четко определено и не нуждается в дополнительных комментариях... Разумеется, 2 + 2 != 4, кто бы спорил; в плане контроля над работой разработчиков бэкап более адекватен, нежели системы контроля версий, которые безусловно избыточны; а доступ на сервер по сертификату - "менее грамотен", чем пароль и file2ban, подразумевающий открытый на сервере ssh-порт для всех диапазонов IP... просто нет слов, сколь много нового для себя узнаю.
Ответ на ваш вопрос: хранить сертификат на ПК - значительно более грамотно (без кавычек), нежели все вышеописанное; по той простой причине, что у абсолютного большинства виндозников по умолчанию firewall с закрытым 22 портом и серый IP от провайдера, что вкупе дают последнему вполне неплохую гарантию от взлома. Никогда не приходило в голову, что серый ваш IP уже представляет из себя некий примитивный брандмауэр? - и ничто не мешает зашифровать файл/директорию/раздел/флэшку с паролями/сертификатами на своем рабочем ПК, коли уж так всерьез заботит возможность физического доступа и проблемы безопасности.
для приватного ключа нужен еще и пароль
Нет.
Если под "приватным ключом" подразумевается SSH-сертификат, хранящийся на ПК администратора сервера, то использование пароля возможно, но не обязательно.
У такой же вас религиозный взгляд на проблему, как у поруганных вами лоровцев, просто приход другой.
у абсолютного большинства виндозников по умолчанию firewall с закрытым 22 портом
Винда и безопасность? Ну да, ну да.
В чем относительная разность безопасности "сертификата на винде с паролем" по сравнению с "просто сложным паролем"?
Для получения обоих злоумышленнику достаточно протроянить винду. А без этого вероятность взлома в обоих вариантах стремиться к нулю. Вспомнить хоть бы всеми забытую "карету" (Careto).
Но да, я знавал немало неуловимых джо, которым и оба эти варианта казались небезопасными - и они юзали аппаратные токены.
---------- Добавлено 08.07.2019 в 00:16 ----------
и ничто не мешает зашифровать файл/директорию/раздел/флэшку с паролями/сертификатами на своем рабочем ПК, коли уж так всерьез заботит возможность физического доступа и проблемы безопасности.
Да, допустим вы шифруете флешку. Даже уносите ее с собой. Нот в момент вашего отсутствия комп троянится. Вы приходите - разблокируете флешку и заходите по сертификату на сервер. В этот момент все ваши доступы благополучно улетают.