d
Принято 👍
Size: a a a
2020 December 11
🔥Э
отключить на s3 хранилище ssh по паролю, только ключ, только с разрешенного айпи. соединение между некстклаудом и хранилищем строго по https. на сервере с хранилищем только голая ос, ветки stable lts, никаких сторонних репозиториев и бинарников кроме хранилища.
И ни в коем случае не включать интернет )
k
И ни в коем случае не включать интернет )
задача - чтобы хранилка принимала запросы строго от некстклауда. либо это делается на уровне маршрутизатора, либо файрвол можно настроить
🔥Э
задача - чтобы хранилка принимала запросы строго от некстклауда. либо это делается на уровне маршрутизатора, либо файрвол можно настроить
При такой паранойи - через туннель гонять
k
При такой паранойи - через туннель гонять
это не паранойя. лююбой здравый безопасник так и поступит
k
потому что за пользовательские данные полиция тебя посадит на бутылку (gdpr, все дела)
🔥Э
это не паранойя. лююбой здравый безопасник так и поступит
Не, речь про то, что если данные шифруютсо, то странно видеть, что их гоняют через общие тырнеты
k
Не, речь про то, что если данные шифруютсо, то странно видеть, что их гоняют через общие тырнеты
ну если они шифрованы, то почему бы и нет?
🔥Э
ну если они шифрованы, то почему бы и нет?
Ну так придётся внешку открывать
k
Ну так придётся внешку открывать
443 порт, принимать запросы только от определенного айпимшника, все остальные дропать
K
В общем: выше ли вероятность что кто-то получит несанкционированный доступ к данным или же потеряем ключ / глюканет nextcloud и вообще потеряем данные)
ты ключ потеряешь быстрее))
K
443 порт, принимать запросы только от определенного айпимшника, все остальные дропать
ну это стандартная практика
🔥Э
443 порт, принимать запросы только от определенного айпимшника, все остальные дропать
Не особо защитит от подмены пакетов и особо выделанных хаскеров
K
дропать всё, кроме определенного ip
k
Не особо защитит от подмены пакетов и особо выделанных хаскеров
а теперь задай вопрос: стоят ли твои данные таких усилий со стороны хацкера. ты ж не Дзюба
K
Не особо защитит от подмены пакетов и особо выделанных хаскеров
если тогда параноить, отключать интернет полностью)
K
либо чисто пускать все по впн
АЩ
настраивал кто strongswan клиент, для подключения к серверу ?
🔥Э
а теперь задай вопрос: стоят ли твои данные таких усилий со стороны хацкера. ты ж не Дзюба
Дешевле и быстрее поднять IPsec, чем настраивать файер и приложения на айпишники.
K
Дешевле и быстрее поднять IPsec, чем настраивать файер и приложения на айпишники.
ну ты тот же ipsec должен мониторить