Re: а следите ли вы за трафиком?
sergio writes: > Почему мне это не нужно? Потому что Вы не сформулировали, зачем это Вам.
а следите ли вы за трафиком?
Я про всякие системы обнаружения/предотвращения вторжений (IPS, IDS) Snort, suricata, yara, zeek. Крам уха только слышал, что такое бывает, слова эти из википедии взял. Представления не имею вообще. Почему мне это не нужно? Почему мне это нужно? Какие ещё бывают варианты, что лучше, что хуже, с чего начать? -- sergio.
Re: Используете ли вы антивирус и фаервол?
On 04/04/2024 13:23, Victor Wagner wrote: Во-первых, может прийти в гости кто-нибудь с затрояненым смартфоном или планшетом и ты его пустишь в свой Wi-fi. Сейчас у всех свой интернет в телефоне. Не помню, что бы кто-то просил wifi. Если очень хочется можно гостевой ssid сделать. Можно менять на нём пароли и показывать их кьюар кодом на каком-нибудь экране. У меня для таких случаев просто открытый wifi завёрнутый в тор. (Возможно просто отрытый уже отключил, оставив только owe.) Во-вторых, в многоэтажном доме каждая Wi-fi сетка видна в десятках квартир. А wpa2 - защита довольно ненадежная. Довольно ненадежное оно главным образом в слабом пароле, который можно на онлайн хеш кракере подобрать. А с хорошим паролем можно спать спокойно. Да и ваще wpa3 уже во всю! А 2.4ГГц пора выключить, или оставить для iot. И настраиваем FoxyProxy чтобы оно автоматически решало через что ходить. Это сложно. Каждому надо персонально прописывать куда ходить. Работает только в браузере. Очень плохо масштабируется на других людей. Другое дело xtables-addons mod geoip и маршрутизация по стране назначения. -- sergio.
Re: Используете ли вы антивирус и фаервол?
On 04/04/2024 13:30, Dmitrii Kashin wrote: Victor Wagner writes: Ну я никогда не использую софт с сайта производителя, если есть возможность его ставить из дистрибутива Debian. Потому что есть дебиан сикьюрити тим Зыбко это, Виктор. а "зыбко" -- это не принимать его всерьёз -- sergio.
Re: Используете ли вы антивирус и фаервол?
В Mon, 08 Apr 2024 10:44:53 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Sun, 07 Apr 2024 22:16:00 +0300 > > "Andrey Jr. Melnikov" пишет: > > > > Victor Wagner wrote: > > > > В Thu, 4 Apr 2024 11:26:23 +0300 > > > > Jan Krapivin пишет: > > > > Ага, только у конечного устройства есть свой процессор и излишнее > > > шифрование ssh скорости не добавляет. между доверенными сетями > > > проще rsync через родной протокол использовать. > > > Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не > > было, но был rsh/rcp с авторизацией по ip-адресам. > Он и сейчас остался. > > > Но где-то году в 2005 я работал в фирме, занимавшейся разработкой > > криптографического софта, и мы там провели бенчмарки, выясняя > > сколько нужно процессора для того чтобы шифровать со скоростью > > канала. > > > Вывод был такой что гигагерцового интел-совместимого процессора на > > шифрование траффика со скоростью 100Мбит/c вполне достаточно. > В календарик загляни, 2024 год на дворе. И прекрасных, жрущих > электроэнергию интеловских камней увы уже не хватает, чтоб загрузить > 10G канал. Да и в ральности - часть коробок уже не на интелях, а на 10G канал? В домашних условиях? Сейчас как заглянешь в магазин, так у большей части продающихся там домашних роутеров эзернет-порты по прежнему сотка, даже не гигабит > более хлипеньких ARM/MIPS/RISC-V5 которых прекрасно хватает для > обеспечения нужд хранения данных, но не хватает для шифрования в > "скорость канала" ибо там уже 1G/2.5G линки. Вот у этих хлипеньикх ARM/MIPS/RiSС-V скорее всего узкое место при передаче данных тоже будет не в процессоре. Во всяком случае во всех, которые попадали в руки мне, проблема была либо в эзернет-чипе, либо в его связи с процессором по USB. > > > С тех пор я как-то не пытаюсь экономить процессорные мощности, а > > предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает > > удобный single sign-on. > А никто у тебя это не отнимает. Просто зайти параллельно на тот-же > хост, запустить 'printf "[mnt]\n/куда/оно/там/\nuid=0\ngid=0\n" > >/tmp/rsync.conf && rsync --daemon --no-detach' для запуска демона Вот когда надо просто зайти и что-то сделать, это уже не single sign-on. single signon это когда ты утром в начале рабочего дня логинишься в систему, у тебя там в память загружается ssh-агент, который введенным тобой при логине паролем расшифровывает ключ ssh, и ты до самого конца рабочего дня забываешь о необходимости где-то как-то аутентифицирвоаться. Просто запускаешь команду, а она уже дальше сама. То есть лишних телодвижений ровно 0.
Re: Используете ли вы антивирус и фаервол?
Dmitrii Kashin wrote: > "Andrey Jr. Melnikov" writes: > > Да-да, то-то archive на несколько дней отключали до "уточнения > > обстоятельств", > > а в sid быстро-быстро liblzma обновился до версии 5.6.1+really5.4.5-1. > Чушь какая-то. Для этого же в версии есть эпоха. Была какая-то особая > причина добавлять странный суффикс "+really5.4.5-1" вместо того, чтобы > сделать "1:5.4.5-1", мейнтейнер что-нибудь говорил? Можешь спросить тут https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024 но есть у меня подозрение, что фикс был со стороны security team, поэтому им проще так версию поднять, чем через эпоху.
Re: Используете ли вы антивирус и фаервол?
Victor Wagner wrote: > В Sun, 07 Apr 2024 22:16:00 +0300 > "Andrey Jr. Melnikov" пишет: > > Victor Wagner wrote: > > > В Thu, 4 Apr 2024 11:26:23 +0300 > > > Jan Krapivin пишет: > > Ага, только у конечного устройства есть свой процессор и излишнее > > шифрование ssh скорости не добавляет. между доверенными сетями проще > > rsync через родной протокол использовать. > Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не > было, но был rsh/rcp с авторизацией по ip-адресам. Он и сейчас остался. > Но где-то году в 2005 я работал в фирме, занимавшейся разработкой > криптографического софта, и мы там провели бенчмарки, выясняя сколько > нужно процессора для того чтобы шифровать со скоростью канала. > Вывод был такой что гигагерцового интел-совместимого процессора на > шифрование траффика со скоростью 100Мбит/c вполне достаточно. В календарик загляни, 2024 год на дворе. И прекрасных, жрущих электроэнергию интеловских камней увы уже не хватает, чтоб загрузить 10G канал. Да и в ральности - часть коробок уже не на интелях, а на более хлипеньких ARM/MIPS/RISC-V5 которых прекрасно хватает для обеспечения нужд хранения данных, но не хватает для шифрования в "скорость канала" ибо там уже 1G/2.5G линки. > С тех пор я как-то не пытаюсь экономить процессорные мощности, а > предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает > удобный single sign-on. А никто у тебя это не отнимает. Просто зайти параллельно на тот-же хост, запустить 'printf "[mnt]\n/куда/оно/там/\nuid=0\ngid=0\n" >/tmp/rsync.conf && rsync --daemon --no-detach' для запуска демона один раз в нужное место, и потом прибить после передачи. Когда 2 лишних телодвижения экономят как минимум раз в 10 больше времени ни них затраченного - то проще их сделать, чем ждать пока со всех сторон будет бесполезно шифроваться-расшифровываться уже или шифрованое или то, что доступно и так публично.
Re: devuan
sergio writes: > В букворме сломана поддержка rsyslog в sysv: > > 1. удалён /etc/init.d/rsyslog > 2. /usr/lib/rsyslog/rsyslog-rotate обрезан else про invoke-rc.d: > > <...> > > Воспринимается это как целенаправленное вредительство и унижение > пользователей sysV. (я конечно архивариус, ага) Да неужели, блин, заметили! Вот ни разу такого за последние 10 лет не было, начиная с голосования в 2014м, и вот опять! =) Ребята, ситуация не изменится, исправлений ждать не приходится. Red Hat контролирует десктопный GNU/Linux как вендор-монополист (и нет, всякие Canonical даже рядом не стояли). И лицензия GPL тут не спасёт, потому что "постоянно развивающийся софт, находящийся вечно на острие прогресса", как показала практика, невозможно форкнуть: и управляет им тот, кто оплачивает труд разработчиков. И совершенно не важно, нужен ли этот труд на самом деле, или нет -- разработка просто должна вестись. Так что вне зависимости от того, что мы вкатываем на свой десктоп, мы жрём то, что даёт вендор. Альтернатива -- это маргинализироваться, уходить с мейнстримных дистрибутивов. Причём это процесс итеративный, и вас будут оттеснять всё дальше и дальше: вот, апстримные правки в Debian в очередной раз Devuan поломали, ну надо же какое дело. Не нравится? Ну так есть более маргинльные дистры. Идите дальше. А потом ещё, и ещё, ещё дальше: Gentoo, Slackware, LFS... Вот вся эта херня... При таких раскладах в FOSS можно ещё с чистой совестью рассмотреть вариант миграции на проприетарные системы.
