Comments | klink0v: Галимые упражнения с NginX-ом

klink0v

Галимые упражнения с NginX-ом

Feb 22, 2024 23:13

Есть в природе такие на всю голову отмороженные заказчики, которые хотят чтобы им всё сделали за***сь, в лучшем виде и внутри их контура. Но при этом, шосукахарактерно, нормальный доступ в этот самый свой контур дать не хотят. И вот начинается: установи у себя какой-нибудь checkpoint VPN, позвони Васе, спроси у него SMS-ку, введи её в VPN-клиента ( ( Read more... )

ненависть, hints, ссылки, трудовыебудни, nginx, manual, памятка

Comments 12

dennis_chikin February 22 2024, 20:47:32 UTC

Учения по этой самой "безопасТносте".
Защищающийся: - А зачем здесь открыт TCP/5985 в инеты?
Ведущий: - Вы НЕ должны обращать на это внимания. И вы не имеете права его блокировать. Ваше дело - предотвращать атаку.
- А что это здесь у вас делает файл /remote_commаnds_exec c правами на выполнение?
- Это не ваше дело, и вообще никаких файлов там нет. Вообще!
Далее чевствование победителей, не задававших дурацкие вопросы, и объяснение лохам педальным, что за дополнительное бабло они готовы обучить оных лохов на лету глазами расшифровывать траффик https для обнаружения и предотвращения действий любых злоумышленников.

Так что почему бы и не предоставлять доступы к заббиксам, а лучше сразу к сальтам? Всем, без разбору? Главное, чтобы подлинность сертификата КЛИЕНТА проверялась, а от какого такого "сервера" он команды получает - см. про "не задавать дурацких вопросов".

nixxl February 22 2024, 20:49:40 UTC

это просто прекрасно. я бы уже на стадии первого разрыва из-за "запрещенных слов" послал бы нахрен.

klink0v February 23 2024, 08:42:57 UTC

Посылать низззя. Заказчики лавэ в кассу предприятия плотють. Конторка в которой я работаю производит весьма специфические вещи, рынок довольно маленький. А с одного удачного контракта она потом может долгие годы кормиться и премии выдавать.

dn54 February 23 2024, 05:27:46 UTC

Хе-хе, напоминает мою прОклятую предыдущую работу, где требовали быстрейшего и лучшейшего реагирования на любые сбои в любое время суток, но при этом запрещали любые же средства удалённого управления. Сначала оставались какие-то лазейки, но ко времени моего ухода их уже все поперекрыли и в тот момент пришли к такой схеме, что посадили говорящую обезъяну выделили несколько ставок на отдельную должность для круглосуточного дежурства. И этот дежурный должен был знать "ничего обо всём", то есть - в одиночку контролировать то, за что в норме десяток отделов отвечает, а это огромная куча самых разных и часто между собой никак не связанных систем. И в случае сбоев он тебе звонил, а ты пытался им удалённо управлять по телефону. ЪУЪ, сюка, аштрисёт, как вспомню!11

leh_a February 23 2024, 05:51:02 UTC

казалось бы где в не рабочую пятницу могут собраться взрослые самодостаточные мужики...

klink0v February 23 2024, 08:51:27 UTC

И тебя с праздничком. :)

zimins_net February 23 2024, 06:42:08 UTC

serv1.pidory.com - Иванов, зачот !!! :)