много лет ищу даже костыль

Ты поспрашивай бывалых сисадминов с никсовыми серверами. Те точно подскажут

> @trashographer ну я проверял как раз на шлюзе > @trashographer tcpdump уже там а вдруг с отключенной телеметрией оно просто тихо копит, а на сервера отправляет раз в год рандомного числа?)

а вы умеете параноить, оно конечно можно проверить и алерт выслать, однако при количестве правил 10+ - это уже никак

Я немного по другой части

хотя system и windows update запрещено в сеть ходить

это основная задача, определить белый список

Внезапно suse/deb/ubuntu apparmor

> @rsa4096 Ты поспрашивай бывалых сисадминов с никсовыми серверами. Те точно подскажут на серверах как раз не сильно актуально резать приложеньки, это больше тема для десктоп параноиков мне кажется

я сторонник белых списков и всем остальным нахрен

только это конечно DAC

> @rsa4096 Ты поспрашивай бывалых сисадминов с никсовыми серверами. Те точно подскажут на серверах как раз не сильно актуально резать приложеньки, это больше тема для десктоп параноиков мне кажется

ну опять же, почему нет? сервер имеет задачу, белый список для задачи, остальное - режект

> @rsa4096 Ты поспрашивай бывалых сисадминов с никсовыми серверами. Те точно подскажут на серверах как раз не сильно актуально резать приложеньки, это больше тема для десктоп параноиков мне кажется

А зачем их резать? Ты что, перед установкой не делаешь полный аудит кода?)

ну на самом деле, все режется на уровне межсетевого экрана корпорации

А зачем их резать? Ты что, перед установкой не делаешь полный аудит кода?)

=(

ну на сервере как правило мало софта и большая часть доверенная, а резать там ничего лишний раз не будут что бы продакшн не поломать

Сервера бывают разные

ну да, поэтому я хз, куда там лезет Midori (что за слово такое), telegram (кто это вообще компилирует), и Tor йопты

ну тогда значит в докере запустят

или в kvm/xen

с разделением по пользователю и приложению чот не нашел

А selinux и apparmor не подходят?

apparmor в теории может, но я не настолько его знаю

А selinux и apparmor не подходят?

А разве apparmor умеет разрешить ssh выход только на конкретный IP:port?

насколько я помню - да

а в идеале сначала спросить! я не знаю даже, кто куда лезет, я хочу как консьерж, рулить потоками

http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference#ipv4_address_expressions

я сижу, ничего не происходит, а потом - БАЦ - окно: ssh лезет на сервер:порт

дык это, ставишь аппармор в режиме обучения вместе с аудитд)

он тебе сам профиль нарисует. правда грубо, но тем не менее

нууу, в принципе ...

ой, чот стемнело

selinux глубоко не ковырял, но думаю там тоже можно. беда с аппармором в том, что есть опасения касательно загибания его поддержки

ой, чот стемнело

фраза когда вырубили свет в дц в момент ремонта генератора

selinux глубоко не ковырял, но думаю там тоже можно. беда с аппармором в том, что есть опасения касательно загибания его поддержки

опенсорц :)

ERROR: S client not available

фраза когда вырубили свет в дц в момент ремонта генератора

я вот думал раньше, что серверная 6 часов продержится без света, а она решила иначе

сейчас только cannonical пушит его. а selinux за шапкой, ее в Ынтерпрайзе поболее

но про задачу, каким ПО или средством рулить уровнями доступа приложений в сеть с параметрами, так и не нашел

это должно делаться с помощью cgroups + iptables

это должно делаться с помощью cgroups + iptables

О, спасибо, почешу свою паранойю

А firewalld, напомню, обертка для iptables, позволяющая настроить их в режиме 47 хромосом

ну на сервере как правило мало софта и большая часть доверенная, а резать там ничего лишний раз не будут что бы продакшн не поломать

вот кстати не согласен. на десктопе куча софта и ты задолбаешься описывать мандатными профилями все прилоги (искоробочные профили есть не на всё, а там где есть - требуют тюнинга). на сервере можно с сильно меньшим гемороем сделать для всего вайтлисты и фактически прикрыть множество векторов

в этом и цель :)

Какой же крутой сериальчик мир дикого запада, хотя сначала думал что будет тягомотина типа галактики или лоста

Какой же крутой сериальчик мир дикого запада, хотя сначала думал что будет тягомотина типа галактики или лоста

К концу первого сезона совсем потеряешь мост в реальность, особенно если в оригинале.

Ребята, подскажите как узнать информацию о человеке, если есть только адрес его электронной почты?

Написать ему?

Либо гуглить, гуглить и еще раз гуглить, если ты конечно не собираешься ломать/брутить ему почту

Либо гуглить, гуглить и еще раз гуглить, если ты конечно не собираешься ломать/брутить ему почту

Нет конечно. Нужна любая информация об этом человеке.

Социальная инженерия.

Если о человеке вообще ничего неизвестно(чем занимается, что имеет), то для начала нужно написать на почту хоть что-то заинтересовывающее. Несколько вариантов можно попробовать на разные возрастные уровни.