СК
А потом начнется, сектерутке дирехтора надо то, дирехтору вообще все
Size: a a a
2021 April 10
VC
я про ситуацмю когда админ настроил и ушёл - уволился или заказ был одноразовый
GV
Вы этого никогда не узнаете, только если не залезете в windbg и умрете
GV
Так надо объяснять людям что так то и так то, а не сразу бежать удовлетворять требования
GV
Понимаю, но тут проблемы не избежать. Опять же, проблема в людях, а не в ПО
GV
кароче от ибшников atm надо одно предложение: не экспозить все одним местом наружу, ставить норм креды, обновлять ПО, не давать юзерам прав больше чем им необходимо, разграничивать обязанности. все. в современных реалиях вы будете как за каменной стеной
AP
Не экспозить одним местом - это открывать только часть портов?
GV
да, только необходимые
GV
а не так, что на всех нодах куба торчит 100500 портов
AP
Я бы еще добавил раскидывать критически важные сервисы типа SSH, OpenBSD шлюз с firewall, DNS, IPS/IDS, Zabbix по разным отдельным одноплатникам НЕ X86.
VC
скажу начальству что макбуков пачку купили ))
GV
смысл?
думаешь это остановит киддосов в плане эксплуатации?
думаешь это остановит киддосов в плане эксплуатации?
AP
Если только стареньких, G3 каких-нибудь :)
GV
они просто до внутренней в своей жизни не доберутся
и очень странно ты написал, что значит разграничить SSH?
и очень странно ты написал, что значит разграничить SSH?
GV
ты на серваки через telnet собрался ходить?
GV
IPS нужно тоже правильно кофигурировать, а не просто поставил и забыл
AP
Ведь обычно есть какой-то SSH хост - так называемый bastion host - шлюз, который контачит со внешкой ?
GV
а, в этом плане
AP
Если админы через Internet цепляются в т.ч. и к хостам СУБД, то откуда такая уверенность?