«Документ содержит рекомендации по настройке операционных систем Linux. Рекомендации направлены на повышение защищенности информационных (автоматизированных) систем, построенных с использованием операционных систем Linux.»
Наслаждайтесь …..
Здравствуйте. Используете ли вы на десктопе дополнительные средства защиты системы? Например fail2ban, настройка iptables/ufw, snort, антивирус . Если да, то какие и почему/для чего?
Есть ли вообще смысл в подобных вещах на пк с популярным дистром(Debian, Fedora, Ubuntu, Arch) и стандартными DE, ядром, конфигами(Debian+LXDE, Xubuntu)?
По левым ссылкам вроде не хожу, в браузере стоят noScript, uBlock. Пакетов откуда попало не ставлю. Но в безопасности почти не шарю, поэтому и боюсь вредоносного ПО, кражи криптовалюты персональных данных.
Посоны, ставлю домашнее облако в контейнерах. докер-композе:
1 version: '1'
2
3 services:
4 db:
5 image: mariadb
6 command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW --skip-innodb-read-only-compressed
7 restart: always
8 volumes:
9 - /home/observer/BKP/nextcloud/mariadb:/var/lib/mysql
10 container_name: mariadb_docker
11 environment:
12 - MYSQL_ROOT_PASSWORD=Super_puper_password
13 - MYSQL_PASSWORD=Super_secure_password
14 - MYSQL_DATABASE=nextcloud
15 - MYSQL_USER=nextcloud
16
17 app:
18 image: nextcloud
19 restart: always
20 ports:
21 - 51623:80
22 links:
23 - db
24 container_name: nextcloud_docker
25 volumes:
26 - /home/observer/BKP/nextcloud/apps:/var/www/html/apps
27 - /home/observer/BKP/nextcloud/config:/var/www/html/config
28 - /home/observer/BKP/nextcloud/data:/var/www/html/data
BKP это отдельный диск, примонтированный дома
Так как, в случае чего, не хотелось бы всё потерять, поэтому спрошу совета, как секурно и надёжно сделать?
Для начала выяснил, что неплохо бы SSL сертификат прикрутить. Щас извне хожу по хттп и это меня напрягает. Но Let’sEncrypt вроде как прекратил их давать для РФ, не? Где тогда брать? Может ещё советы есть от бывалых (кроме сделать бочку и самозабаниться).
благодарю всех докладчиков.
Подскажите для общего развития. Прошивка для роутера «FreshTomato»
Есть правила в цепочке INPUT
iptables -A INPUT -j ACCEPT -m state --state NEW
iptables -A INPUT -d wan-ip -j DROP
iptables -A INPUT -j DROP -m state --state INVALID
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
...
...
Первому пакету с флагом SYN присваивается статус NEW.
Но, второй пакет SYN\ASK уничтожается. доступ к интерфейсу закрыт.
Вопрос в первых двух правилах.
Для чего так сделано?
Обычно, пропускают соединение RELATED,ESTABLISHED
Все остальное, кроме нужного закрыто…
Не могу че-то разобраться с location, чтобы все работало правильно. Исходные данные:ubuntu 20.04, nginx 1.18, php 7.4, сайт на joomla 3.6-3.8. В общем проблема в не работающих(у меня) директивах location в серверных конфигах вот мой конфиг
server {
listen 80;
listen [::]:80;
server_name mysite www.mysite;
root /var/www/html/mysite;
index index.php index.html index.htm index.nginx-debian.html;
location / {
# try_files $uri $uri/ /index.php;
try_files $uri $uri/ /index.php?$args;
}
location ~* \.php$ {
fastcgi_pass unix:/run/php/php7.4-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
include snippets/fastcgi-php.conf;
}
location ~* /\. {
deny all;
}
location = /robots.txt {
allow all;
}
# deny running scripts inside writable directories
location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
return 403;
}
# caching of files
location ~* \.(ico|pdf|flv)$ {
expires 1m;
}
location ~* \.(js|css|png|jpg|jpeg|gif|swf|xml|txt)$ {
expires 14d;
}
# add global x-content-type-options header
add_header X-Content-Type-Options nosniff;
location = /configuration.php {
deny all;
}
location ^~ /(components|includes|administrator/includes|language|libraries|modules|plugins|templates|cli)/.*\.(php|ini|xml)$ {
deny all;
}
}
По документации последний в конфиге location должен переопределять в указанных директориях файлы php на параметры этого location. Но почему-то не переопределяет. Работает последний location, если отключаю вот этот
location ~* \.php$ {
fastcgi_pass unix:/run/php/php7.4-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
include snippets/fastcgi-php.conf;
# deny running scripts inside writable directories
location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
return 403;
}
Имею такую ситуацию:
$ free -m
total used free shared buff/cache available
Mem: 64290 17887 17917 18909 28485 26785
Swap: 24147 21572 2575
При этом в топе всего штук 50 процессов с потреблением памяти больше 10 Мб, и они вместе съели максимум 5 Гб памяти. Всего процессов штук 500, и не похоже чтобы лишние гигабайты были размазаны по ним тонким слоем. Отдельный вопрос про своп: неужели все это память, выделенная каким-то процессам? Где-то же должно быть написано кто это все сожрал.
Где память?
Fedora 31, kernel-5.8.18, KDE