LINUX.ORG.RU

Избранные сообщения NDfan

На сайте ФСТЭК России опубликован Методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux».

Форум — Security

«Документ содержит рекомендации по настройке операционных систем Linux. Рекомендации направлены на повышение защищенности информационных (автоматизированных) систем, построенных с использованием операционных систем Linux.»

( https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933 )

Наслаждайтесь …..

 

paulbych ()

Безопасность на десктопе

Форум — Security

Здравствуйте. Используете ли вы на десктопе дополнительные средства защиты системы? Например fail2ban, настройка iptables/ufw, snort, антивирус . Если да, то какие и почему/для чего?

Есть ли вообще смысл в подобных вещах на пк с популярным дистром(Debian, Fedora, Ubuntu, Arch) и стандартными DE, ядром, конфигами(Debian+LXDE, Xubuntu)?

По левым ссылкам вроде не хожу, в браузере стоят noScript, uBlock. Пакетов откуда попало не ставлю. Но в безопасности почти не шарю, поэтому и боюсь вредоносного ПО, кражи криптовалюты персональных данных.

 , , , ,

misterzsm ()

Установка/настройка nextcloud

Форум — Desktop

Посоны, ставлю домашнее облако в контейнерах. докер-композе:

  1 version: '1'
  2
  3 services:
  4   db:
  5     image: mariadb
  6     command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW --skip-innodb-read-only-compressed
  7     restart: always
  8     volumes:
  9       -  /home/observer/BKP/nextcloud/mariadb:/var/lib/mysql
 10     container_name: mariadb_docker
 11     environment:
 12       - MYSQL_ROOT_PASSWORD=Super_puper_password
 13       - MYSQL_PASSWORD=Super_secure_password
 14       - MYSQL_DATABASE=nextcloud
 15       - MYSQL_USER=nextcloud
 16
 17   app:
 18     image: nextcloud
 19     restart: always
 20     ports:
 21       - 51623:80
 22     links:
 23       - db
 24     container_name: nextcloud_docker
 25     volumes:
 26       - /home/observer/BKP/nextcloud/apps:/var/www/html/apps
 27       - /home/observer/BKP/nextcloud/config:/var/www/html/config
 28       - /home/observer/BKP/nextcloud/data:/var/www/html/data

BKP это отдельный диск, примонтированный дома

Так как, в случае чего, не хотелось бы всё потерять, поэтому спрошу совета, как секурно и надёжно сделать?

Для начала выяснил, что неплохо бы SSL сертификат прикрутить. Щас извне хожу по хттп и это меня напрягает. Но Let’sEncrypt вроде как прекратил их давать для РФ, не? Где тогда брать? Может ещё советы есть от бывалых (кроме сделать бочку и самозабаниться).

благодарю всех докладчиков.

 ,

SpaceRanger ()

Увидел правила IPTABLES, зачем так делают?

Форум — General

Подскажите для общего развития. Прошивка для роутера «FreshTomato»

Есть правила в цепочке INPUT

iptables -A INPUT -j ACCEPT -m state --state NEW  
iptables -A INPUT -d wan-ip -j DROP  
iptables -A INPUT -j DROP -m state --state INVALID  
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED  
...  
...  

Первому пакету с флагом SYN присваивается статус NEW.
Но, второй пакет SYN\ASK уничтожается. доступ к интерфейсу закрыт.

Вопрос в первых двух правилах.
Для чего так сделано?
Обычно, пропускают соединение RELATED,ESTABLISHED
Все остальное, кроме нужного закрыто…

 ,

AndrK189100 ()

location nginx

Форум — Admin

Не могу че-то разобраться с location, чтобы все работало правильно. Исходные данные:ubuntu 20.04, nginx 1.18, php 7.4, сайт на joomla 3.6-3.8. В общем проблема в не работающих(у меня) директивах location в серверных конфигах вот мой конфиг

server {
  listen 80;
  listen [::]:80;
  server_name mysite www.mysite;
  root /var/www/html/mysite;
  index index.php index.html index.htm index.nginx-debian.html;

  location / {
 # try_files $uri $uri/ /index.php;
    try_files $uri $uri/ /index.php?$args;
  }

  location ~* \.php$ {
    fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
    include snippets/fastcgi-php.conf;
  }

  location ~* /\. {
      deny all;
  }

  location = /robots.txt {
    allow all;
    }

 # deny running scripts inside writable directories
  location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
     return 403;
     }

 # caching of files 
   location ~* \.(ico|pdf|flv)$ {
      expires 1m;
        }

   location ~* \.(js|css|png|jpg|jpeg|gif|swf|xml|txt)$ {
      expires 14d;
        }

 # add global x-content-type-options header
     add_header X-Content-Type-Options nosniff;

  location = /configuration.php {
      deny all;
  }

  location ^~ /(components|includes|administrator/includes|language|libraries|modules|plugins|templates|cli)/.*\.(php|ini|xml)$ {
     deny all;
     }

}

По документации последний в конфиге location должен переопределять в указанных директориях файлы php на параметры этого location. Но почему-то не переопределяет. Работает последний location, если отключаю вот этот

location ~* \.php$ {
    fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
    include snippets/fastcgi-php.conf;
По ходу этот тоже не работает
# deny running scripts inside writable directories
  location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
     return 403;
     }
В общем вопрос такой:как заставить все это работать, те запрет скриптов в images|cache|media|logs|tmp и запрет прямого доступа к ядру joomla components|includes|administrator/includes|language|libraries|modules|plugins|templates|cli

 ,

mio_linux ()

Linux ate my RAM - 2

Форум — Desktop

Имею такую ситуацию:

$ free -m
              total        used        free      shared  buff/cache   available
Mem:          64290       17887       17917       18909       28485       26785
Swap:         24147       21572        2575

При этом в топе всего штук 50 процессов с потреблением памяти больше 10 Мб, и они вместе съели максимум 5 Гб памяти. Всего процессов штук 500, и не похоже чтобы лишние гигабайты были размазаны по ним тонким слоем. Отдельный вопрос про своп: неужели все это память, выделенная каким-то процессам? Где-то же должно быть написано кто это все сожрал.

Где память?

Fedora 31, kernel-5.8.18, KDE

 , , , ,

Zeta_Gundam ()