NNM-Club - Понедельник, 10 июня 2013

NNM-Club

nnm-club@conference.evadim.ru

Понедельник, 10 июня 2013< ^ >

Рок-злодей установил(а) тему: Календарь NoName-Club на 2013 год • http://nnm-club.ru/forum/viewtopic.php?t=595872 • Ставим юзербар конфы http://nnm-club.ru/forum/images/984887.gif • Логи http://tinyurl.com/yfsvmef

Конфигурация комнаты

Участники комнаты

GMT+4
[01:09:23] zHz вышел(а) из комнаты
[01:10:28] zHz вошёл(а) в комнату
[01:46:02] Рок-злодей вошёл(а) в комнату
[06:33:59] -sf- вошёл(а) в комнату
[09:19:57] Shuba вошёл(а) в комнату
[09:51:55] Добрый вошёл(а) в комнату
[12:22:13] -sf- вышел(а) из комнаты
[12:44:18] zHz вышел(а) из комнаты
[13:22:15] Добрый вышел(а) из комнаты
[13:22:33] Добрый вошёл(а) в комнату
[13:26:29] Добрый вышел(а) из комнаты
[13:27:02] Добрый вошёл(а) в комнату
[15:17:44] zHz вошёл(а) в комнату
[16:08:42] zHz вышел(а) из комнаты: Replaced by new connection
[16:08:43] zHz вошёл(а) в комнату
[16:29:28] zHz вышел(а) из комнаты
[16:31:37] zHz вошёл(а) в комнату
[16:34:18] zHz вышел(а) из комнаты: Replaced by new connection
[16:34:19] zHz вошёл(а) в комнату
[16:37:23] zHz вышел(а) из комнаты: Replaced by new connection
[16:37:24] zHz вошёл(а) в комнату
[16:43:26] zHz вышел(а) из комнаты: Replaced by new connection
[16:43:26] zHz вошёл(а) в комнату
[16:48:22] zHz вышел(а) из комнаты: Replaced by new connection
[16:48:23] zHz вошёл(а) в комнату
[16:54:32] zHz вышел(а) из комнаты: Replaced by new connection
[16:54:33] zHz вошёл(а) в комнату
[17:19:06] zHz вышел(а) из комнаты: Replaced by new connection
[17:19:06] zHz вошёл(а) в комнату
[18:26:33] Shuba вышел(а) из комнаты
[21:58:49] Sachiel вошёл(а) в комнату
[21:59:38] <Sachiel> вечеру, уважаемые
[23:02:11] <evadim> вечер
[23:02:28] <evadim> Sachiel: что расскажеш?
[23:02:43] <Sachiel> мгм
[23:03:07] <Sachiel> evadim: могу рассказать, как сегодня менял шрус в тазике-девятке
[23:03:17] <Sachiel> но это будет более чем нецензурно
[23:04:03] <evadim> ухты
[23:04:25] <evadim> живы же, курилки
[23:04:39] <Sachiel> отож %)
[23:05:45] <Sachiel> я частенько живой, главное хайлайтить
[23:05:57] <Sachiel> evadim: или ты про девытки?
[23:06:20] <evadim> я про девятки =)
[23:06:36] <Sachiel> мря 95 года, гниловата
[23:07:06] <Sachiel> буду варить стальными листами, благо в моём лесхози это не проблема
[23:07:24] <evadim> хех, почти 20 лет...
[23:07:29] <Sachiel> ога
[23:07:42] <Sachiel> а проводка и движок в порядке до сих пор
[23:08:34] <Sachiel> хотя я параноик, обчитаюсь в интернетах "сгорело авто такое-то", "сгорело авто такое-то", "причина всех возгораний - короткое замыкание в проводке"
[23:08:42] <evadim> а всё кашляют на наш автопром =)
[23:09:08] <Sachiel> поставил дистанционный выключатель "массы" от трактора, труЪ %)
[23:09:35] <Sachiel> россиядзинский автопром ремонтопригоден в домашних условиях
[23:09:52] <Sachiel> и это хорощо
[23:10:16] <evadim> это да
[23:10:36] <evadim> помнится сами на заводе шаровые точили...
[23:10:49] <Sachiel> но в беларашкинских реалиях запчасти на ВАЗ стоят в два раза дороже чем на VW Golf 2\3
[23:11:01] <evadim> а у нас вот - новый поезд. Правда уже не русский... http://gallery.evadim.ru/index.php/montenegro/misc/new_train
[23:12:03] <Sachiel> няшный
[23:13:13] <Sachiel> а у меня велик есть такой - http://fpenn.net/html/bi/src/1355765646935.jpg
[23:14:11] <Sachiel> DIY %)
[23:15:24] <evadim> чото не открываеццо
[23:15:38] evadim подумал что надо было бы текущий велик сфоткать
[23:16:06] <Sachiel> мгм
[23:16:23] <Sachiel> evadim: мб ты не в рашке?
[23:16:52] <Sachiel> у меня там жестачайшы фаерволл geoip только BY,RY,UA
[23:17:21] <evadim> кхм
[23:17:35] <evadim> а ты не заметил?
[23:18:01] <Sachiel> дык
[23:18:16] <Sachiel> в профиле у тебя Belgorod,Russia
[23:18:41] <Sachiel> а ИП твой мне не виден, увы %)
[23:19:40] <evadim> я про галлерею саму по себе
[23:20:29] <evadim> ip - evadim-mne.no-ip.org
[23:22:03] <Sachiel> знал бы ты, через сколько правил iptables надо продираться
[23:22:14] <Sachiel> впрочем счас добавлю
[23:23:31] <Sachiel> evadim: пробуй
[23:23:37] <evadim> а зачем ты всё забанил то?
[23:23:57] <evadim> чумааааа
[23:23:59] <Sachiel> хреновы тучи скрипт-кидди ломятся на апач и ссш
[23:24:13] <Sachiel> меня это нервирует
[23:24:14] <evadim> а зачем такая адова подсветка?
[23:24:19] <Sachiel> ээ
[23:24:19] <evadim> нууу
[23:24:38] <Sachiel> ну габариты же
[23:24:40] <evadim> а fail2ban ты не пробовал, проти скрипт-кидди?
[23:24:45] <Sachiel> 2х5Вт
[23:25:01] <Sachiel> головная фара 70х75Вт, галогенка
[23:25:14] <Sachiel> только ради света юзается
[23:25:46] <Sachiel> fail2ban подумывал, но в данном случае у меня другие механизмы защиты
[23:26:04] <Sachiel> да и от атак на апач fail2ban не спасает
[23:26:16] <evadim> на самом деле можно чисто иптаблесами обойтись
[23:26:26] <evadim> смотря что они делают
[23:26:30] <Sachiel> дык я чисто иптаблесами и обошёлся
[23:26:38] <evadim> не так как ты
[23:26:43] <evadim> а по-нормальному
[23:26:44] <Sachiel> с прикрученным геоип
[23:26:48] <Sachiel> хм
[23:26:52] <Sachiel> ну просвети
[23:27:08] <Sachiel> я открыт всегда новому знанию
[23:27:55] <Sachiel> как защитить апач от вредоносных запросов из китая/аргентины, например
[23:28:23] <evadim> на ссх у меня типа вот так сделано http://www.nivindel.com/blog/49-block-brute-force-ssh-attempts.html
[23:28:30] <Sachiel> или отовсюду, если это возможно
[23:28:30] <evadim> #1
[23:29:27] <evadim> всякие игрушки с цулью recent
[23:30:02] <Sachiel> хм, интересно
[23:30:42] <Sachiel> мне на мой домашний сервак, конечно, хватает geoip+нестандартный порт, но и это следует рассмотреть
[23:30:44] <evadim> если тебе нужно оперировать большими списками то есть set'ы
[23:31:45] <evadim> и вообще можно посмотреть xtables-addons  - там много всяких полехных штук
[23:32:51] <Sachiel> там риальне их много, я просто заморочился читать их на английском
[23:33:10] <Sachiel> в школе меня немецкому учили >_<
[23:33:21] <evadim> так то да
[23:33:44] <Sachiel> xt_geoip лишь ождна из многих
[23:34:01] <evadim> с ссх можно заморочится и открывать порт по запросу
[23:34:07] <Sachiel> ага
[23:34:13] <Sachiel> port knocking
[23:34:18] <Sachiel> читали, знаем
[23:35:34] <Sachiel> для рядового домашнего сервера это ИМХО оверкилл в такой стране, как Беларусь
[23:35:47] <Sachiel> я думал запилить - но бросил затею
[23:36:37] <Sachiel> а вот для продакшен-сервера в интернетах это очень ок
[23:37:14] <evadim> у меня домашний сервер открыт всем ветрам, практически
[23:37:52] <Sachiel> а зачем?
[23:38:06] <evadim> а зачем закрывать?
[23:38:19] <evadim> нужные сервисы палит файл2бан
[23:38:20] <Sachiel> мало ли дырку найдут внеочередную
[23:38:32] <evadim> скрипт киддисы?
[23:38:35] <Sachiel> как с libkeyutils
[23:38:40] <evadim> лопну от смеху
[23:38:47] <evadim> что за кейутилс?
[23:38:50] <Sachiel> там fail2ban не спасёт
[23:38:55] <Sachiel> хех
[23:39:02] <Sachiel> ну погугли по этому слову
[23:39:48] <Sachiel> дырень в линухах, внедрение через неизвестный сервис, цепляет библиотеку с sshd и сливает пароли через запросы на 53 порт
[23:41:22] <Sachiel> самый смех в том, что это де-факто системная библиотека, и заметить подмену сложно
[23:42:46] <evadim> это я читал
[23:44:06] <evadim> для таких штук надо hardned систему накатывать
[23:44:42] <Sachiel> лично для меня это был внеочередным поводом донастроить OUTPUT цепочку в iptables
[23:45:11] <evadim> хех
[23:45:57] <evadim> у меня этой библы впринципе нету
[23:45:59] <Sachiel> hardened систему на рядовой домаший комп? будь он хоть трижды роутер домашней сети с 6 юзерами и сайтом?
[23:46:11] <Sachiel> должна быть
[23:46:18] <Sachiel> в /lib
[23:46:52] <evadim> нету
[23:46:54] <Sachiel> в дебиане ленни она лежит в /lib/[arch]/
[23:47:00] <evadim> это откакого пакета вообще?
[23:47:08] <Sachiel> в последнем просто в /lib
[23:48:04] <Sachiel> Package: libkeyutils1 (1.5.5-7 and others)
[23:49:08] <Sachiel> http://packages.debian.org/ru/sid/libkeyutils1
[23:49:19] <evadim> * sys-apps/keyutils
     Available versions:  ~1.0 ~1.1 ~1.2 ~1.2-r1 1.2-r2 ~1.4 ~1.4-r1 ~1.5.3 1.5.5
     Homepage:            http://people.redhat.com/dhowells/keyutils/
     Description:         Linux Key Management Utilities
[23:49:24] <evadim> не, не стоит
[23:50:19] <Sachiel> xex
[23:51:01] <Sachiel> значит, _этой_ дыры ты можешь не бояться
[23:51:41] <Sachiel> но пояление этого файла следует контролировать
[23:52:44] <evadim> у меня слишком странная система, чтобы массовые хаки работали
[23:53:07] <Sachiel> сишком странная - это какая, если не секрат? %)
[23:53:17] <Sachiel> генту или лфс?
[23:53:56] <evadim> 1
[23:54:13] <Sachiel> на сервере? O_o
[23:54:22] <evadim> если их бояться, надо озаботиться укреплёнными системами
[23:54:50] <evadim> с одной стороны, это домашний сервер. А с другой - что такого в gentoo  на сервере?
[23:55:35] <Sachiel> в генту на сервере (по крайней мере на продакшене) будет проблема с обновлениями
[23:55:51] <Sachiel> ЖРАТ ресурсы на компиляцию и тд
[23:56:05] <Sachiel> а так я ничего против не имею, конечно
[23:56:48] <Sachiel> мне достаточно дебиана с файерволлом и OSSEC
[23:57:29] <evadim> а с чего должна быть проблема с обновлениями?
[23:57:54] <Sachiel> в генте ж их компилить надо
[23:58:03] <evadim> у тебя нет тестового сервака к продакшену? бекапа? ты обновляеш на живую системы?
[23:58:27] <Sachiel> три раза нет
[23:58:30] <evadim> а кто сказал что их надо компилить на той же системе что и ставить?
[23:58:46] <Sachiel> хм
[23:59:14] <evadim> portage может компилить через distcc, а может сам для себя генерить бинари
[23:59:31] <Sachiel> скомпилить  на тестовом серваке и перенести на продакшен? генту это умеет?
[23:59:57] <evadim> что у меня и стоит - "фича" buildsyspkg перед установкой собирает бинарь системного пакета "на всякий случай"

Powered by ejabberd

Powered by Erlang