... Как работает "нормальный классический" линуксовый демон. Форкается init-ом из-под рута, читает конфиги, открывает порты, сбрасывает привилегии и работает. Как работает Java-демон. Один раз запускается виртуальная Java-машина, и всё. Из-под кого её запустил, из-под того и запустил. В общем случае "уронить" привилегии она уже не может. Получается
(
Read more... )
Хэшикорп или альтернативная фиговина все равно ведь нужна - негоже пароли тупо хранить на сервере, не говоря уже об их дистрибуции и обновлении.
Ты не поверишь, но Амнезия у меня перестала работать, шэдоусокс тоже, а тупо сокс, который вот тупо сквид, как работал, так и работает :) Но ищу запасные варианты, конечно.
Кстати, а на чем сейчас модно собственный почтовик забабахать? У меня он настолько древний, что работает еще на CentOS6, куда даже обновления уже забили делать несколько лет назад.
Reply
Если из паролей там в основном путь и credentials к РСУБД и NoSQL, то ради этого хашикорп поднимать-обслуживать... ну такое.
У меня... внезапно самый обычный IPSec до сервачка в Польше. Все эти страсти как-то мимо меня прошли, не знаю почему. Ибо IPSec заблокировать вообще проще простого, как нехрен делать. Видимо, пока на него всем похрен.
Насчет почтаря есть три пути. Два попроще и один самурайский.
Reply
А что именно из реализаций этого IPSec? Я так понимаю, в него вообще всё должно уметь?
Не, винду на сервере я не готов, хотя на личных девайсах только винда. Понял, спасибо.
Reply
Да, IPSec - это промышленный стандарт. В него умеет всё, только интерпретируют зело по-разному.
Под Linux-ом альтернатив особо-то и нет, только могучий лебедь (StrongSWAN). В винде есть встроенная реализация, она вполне себе дружит с лебедем, только настраивается... гм... неочевидно.
Reply
Когда шла года полтора назад волна тестирования блокировок VPN, народ говорил что в некоторых регионах блокировали IPSec. Просто пока еще не настало время тотальной войны с VPN.
Reply
С одной стороны, да. С другой стороны, если заблокировать IPSec, то тут же встанет большинство банков и перекорежит большинство ОПСОСов. Да те же "Госуслуги" тут же перестанут работать просто потому, что SMSка на вход никому не придет. Вот и не блокируют (пока).
Кстати, поговаривают, что если подписывать TCP-пакеты контрольной md5-суммой (есть такое в RFC), то они тоже как нефиг-нафиг преодолевают любые блокировки. Но по умолчанию Linux-ядро такие входящие пакеты дропает. Сам не проверял, просто транслирую слухи.
Reply
Можно подумать, их волнует, что там что-то сдохнет.
Нет, все будет определяться политическим моментом. Как только просрут что-то всерьез, так и херакнут. Как в той притче про скорпиона и лягушку. Ну, вон недавно мигрантов захреначили так в одном из регионов, что в магазинах пусто, т.к. некому работать на складах. И что, наказали Бастрыкина или еще кого за черезмерное усердие?
Кстати, поговаривают, что если подписывать TCP-пакеты
Вот не люблю я таким заниматься. Никогда не знаешь, когда долбанет - сегодня они не умеют, а завтра апдейт им пришлют разработчики из канады (или где там это говно разрабатывают) и все. Поэтому все эти гудбаи и прочее я нахрен игнорировал с самого начала и для всей сети магазинов изначально заимплементил плагины из более надежного, которое прикидывается настоящим веб-трафиком и хрен отдетектится в принципе - xray/reality, cloak, и там кое-чего еще, а может потом и одну самописную вещь еще прикручу, если времени хватит (ибо охотятся за популярным).
И кстати, есть еще одна вещь, которую китайсы уже лет десять ( ... )
Reply
Reply
Leave a comment