RR
Теперь geoip2
Size: a a a
2019 February 13
RR
А там другой модуль
V
Что ты имеешь ввиду?
RR
V
Ну, geoip2 есть. В чем проблема?) Я чёт не в теме, у меня nginx как-то сам все определяет, страну, город, улицу, квартиру😂
RR
Ну он должен быть собран по другому, в целом проблемы нет уже)
2019 February 16
AC
привет девсекопсы!
Используете ли вы в работе какой-нибудь Ansible security hardening playbook и если да - то какой, а если нет - то почему?
Используете ли вы в работе какой-нибудь Ansible security hardening playbook и если да - то какой, а если нет - то почему?
SP
привет девсекопсы!
Используете ли вы в работе какой-нибудь Ansible security hardening playbook и если да - то какой, а если нет - то почему?
Используете ли вы в работе какой-нибудь Ansible security hardening playbook и если да - то какой, а если нет - то почему?
Ansible сам по себе требует минимальных движений - ssh по ключу + sudo.
Единственный, на мой взгляд, важный момент - лично я все пароли закрываю в ansible_vault через encrypt_string. Тогда в репозитории лежат себе закрытые AES-ом пароли, и всегда видно, когда, кто и что поменял.
Единственный, на мой взгляд, важный момент - лично я все пароли закрываю в ansible_vault через encrypt_string. Тогда в репозитории лежат себе закрытые AES-ом пароли, и всегда видно, когда, кто и что поменял.
N
Я думаю Александр немного про другое.
Типа используем ли такие вот роли https://github.com/openstack/ansible-hardening
Типа используем ли такие вот роли https://github.com/openstack/ansible-hardening
AD
Вишмастер наоборот какой-то эти отвердители и дают ложное чувство защищенности. Очень сложно без понимания переносить закрытие idle сеанса SSH каждые 5 минут, например.
AC
Alexey Dushechkin
Вишмастер наоборот какой-то эти отвердители и дают ложное чувство защищенности. Очень сложно без понимания переносить закрытие idle сеанса SSH каждые 5 минут, например.
А там есть такое правило? O_o
AC
Это последнее, наверное, что интересует - что будет с SSH сеансом через пять минут
AD
Например, там есть ругань на беспарольное sudo. А ботов для деплоя в push режиме тогда как делать? Точно ключ плюс пароль, которые у бота и так в одном месте сходятся, это безопаснее, чем просто ключ? Белого списка на правило нет, всё или ничего. Как пища для размышлений пойдёт, «поставил и в безопасности теперь» - ну так
AC
Alexey Dushechkin
Например, там есть ругань на беспарольное sudo. А ботов для деплоя в push режиме тогда как делать? Точно ключ плюс пароль, которые у бота и так в одном месте сходятся, это безопаснее, чем просто ключ? Белого списка на правило нет, всё или ничего. Как пища для размышлений пойдёт, «поставил и в безопасности теперь» - ну так
Ещё там IP forwarding по умолчанию запрещён прямо в sysctl - но как из этого сделать вывод про «в безопасности теперь», я пока не понял
AD
А там есть такое правило? O_o
Да, посмотри в templates/
AA
О! Какие люди в нашем чате))
Вот у этого чувака есть много секьюрити-автоматизаци через ансибль. https://github.com/juju4/ansible-harden
Даже какой-то сайтик был на эту тему, не могу найти сходу.
Вот у этого чувака есть много секьюрити-автоматизаци через ансибль. https://github.com/juju4/ansible-harden
Даже какой-то сайтик был на эту тему, не могу найти сходу.
AC
О! Какие люди в нашем чате))
Вот у этого чувака есть много секьюрити-автоматизаци через ансибль. https://github.com/juju4/ansible-harden
Даже какой-то сайтик был на эту тему, не могу найти сходу.
Вот у этого чувака есть много секьюрити-автоматизаци через ансибль. https://github.com/juju4/ansible-harden
Даже какой-то сайтик был на эту тему, не могу найти сходу.
👍
Спасибо, гляну!
Спасибо, гляну!
AA
AC
Кажется вот https://dev-sec.io
А, я этим пользуюсь, да
AA
У меня была попытка написать роль по рекомендациям наших безопасников. Но меня на много не хватило. Я там sshd конфигурил по рекомендациям sshaudit, включал секьюрити-апдейты по крону, и какие-то icmp отключал из-за чего у сетевиков потом сильно пригорело.