Ну, у многих веб-приложений на ruby/php первым пунктом отключение selinux :D

Ну, у многих веб-приложений на ruby/php первым пунктом отключение selinux :D

потому что они говно

это как возможно вообще?

да легко, слабые пароли, ssh на виду

Ну, у многих веб-приложений на ruby/php первым пунктом отключение selinux :D

потому, что они говно, да

но даже если они говно - нет никакой проблемы все же настроить их правильно

но даже если они говно - нет никакой проблемы все же настроить их правильно

у некоторых это оч много времени займёт

за некоторых базару нет. обезьяны - они обезьяны и есть...

В общем попыток логина в гитлаб не нашёл в логах, ssh открыт только по ключу не к руту

В общем попыток логина в гитлаб не нашёл в логах, ssh открыт только по ключу не к руту

посмотри другие открытые порты/сервисы, через которые могли прийти

Смотри вообще какие и кем сокеты у тебя открыты

Потом выяснить кто именно отправляет спам - твой локальный почтовик или отдельный вражеский процесс

Вражеский можно отловить опять же по сокету --> PID --> родитель, строка запуска

Если локальный - в логах самого почтовик копай кто шлет

После того как найдешь собственно сам зловредные код - по нему может быть понятно как он попал в систему

Латай дырки, вычищай, ротируй пароли/ключи и делай выводы )

Не забудь потом про красивый прямоток

Selinux тоесть

Ну, у многих веб-приложений на ruby/php первым пунктом отключение selinux :D

Просто никто не любит селинукс, как и аппармор и пр

Всем лень парится

Или ресурсы системы жалко

Какие ресурсы?

Какие ресурсы?

Немножко цпу. Селинукс не бесплатен и ты потеряешь 5-10% скорости в некоторых ситуациях

Точнее подрежешь цпу и ио

Немножко цпу. Селинукс не бесплатен и ты потеряешь 5-10% скорости в некоторых ситуациях

Расскажи кейсы веб-стека, где это действительно важно

Расскажи кейсы веб-стека, где это действительно важно

Ртб

Полная виртуализация и то дает меньше просадки по ресурсам

Полная виртуализация и то дает меньше просадки по ресурсам

В офф доках сказано 7% в среднем оверхед :)

И селинукс в целом также полезен как стакан воды при пожаре на нефтезаводе

Точнее подрежешь цпу и ио

Веб работает с бд всякими - срать на io. CPU несколько процентов что докеры, что селинуксы - порядок потерь одинаков, никто особо не парится

Расскажи кейсы веб-стека, где это действительно важно

ок. у тебя есть поисковый движок. ты перевёл его на kvm. просадка по cpu вышла около 8%. поэтому ты должен купить ещё 200 машин, потому что твой кластер был размером примерно 2200. это полмиллиона долларов.

Веб работает с бд всякими - срать на io. CPU несколько процентов что докеры, что селинуксы - порядок потерь одинаков, никто особо не парится

БД не срать на I/O

CPU - ты на докер пару процентов отдал, на селинукс пару процентов отдал

и опа, +200 машин к кластеру

ок. у тебя есть поисковый движок. ты перевёл его на kvm. просадка по cpu вышла около 8%. поэтому ты должен купить ещё 200 машин, потому что твой кластер был размером примерно 2200. это полмиллиона долларов.

да не только поиск )

просадка всегда просадка. если ваше железо недоутилизировано - то вы не заметите 10%. но обычно люди стараются утилизировать существующие мощности полностью.

Веб работает с бд всякими - срать на io. CPU несколько процентов что докеры, что селинуксы - порядок потерь одинаков, никто особо не парится

еще на базы данных парц процентов отдал, и вот у тебя лишних пять серверов под базы, потому что их было больше 200 до этого

да не только поиск )

что вижу то пою

проблема в том, что аппарморы и селинуксы помогают когда тебя поломали, чтобы меньше навредили

но тебя все равно поломали

и все равно навредят

БД не срать на I/O

Если бд на одном хосте с остальным стеком - то это студенческая лаба, где тоже не нужен celinux

ну не будут спам слать, а стянут базу пользовательских аккаунтов

тебе легче не станет

Если бд на одном хосте с остальным стеком - то это студенческая лаба, где тоже не нужен celinux

а ты предлагаешь только на фронтэнде включить селинукс?

проблема в том, что аппарморы и селинуксы помогают когда тебя поломали, чтобы меньше навредили

это не совсем так. они мешают злоумышленнику эксплуатировать уязвимости

Немножко цпу. Селинукс не бесплатен и ты потеряешь 5-10% скорости в некоторых ситуациях

там основную печаль дает аудит сисколлов.

это не совсем так. они мешают злоумышленнику эксплуатировать уязвимости

они никоим образом не помешают заюзать багу в твоей софтине на пхп

это не совсем так. они мешают злоумышленнику эксплуатировать уязвимости

Не все уязвимости помогает порешать

ок. у тебя есть поисковый движок. ты перевёл его на kvm. просадка по cpu вышла около 8%. поэтому ты должен купить ещё 200 машин, потому что твой кластер был размером примерно 2200. это полмиллиона долларов.

Срать на пол миллиона, если у меня 2200 машин в кластере. Еще предложи node.js переписать на ассемблере и отменить php

они никоим образом не помешают заюзать багу в твоей софтине на пхп

зависит от баги. почитать что не положено они не дадут

Срать на пол миллиона, если у меня 2200 машин в кластере. Еще предложи node.js переписать на ассемблере и отменить php

Бизнесу не срать. Пусть твои 2200 серверов стоят 50 лямов, пол ляма так и останутся пол лямом

зависит от баги. почитать что не положено они не дадут

Но от спама не защитят

И от того что злоумышленник подключится к базе и стянет данные

Бизнесу не срать. Пусть твои 2200 серверов стоят 50 лямов, пол ляма так и останутся пол лямом

Бизнесу срать на потери 0.0001% от оборотки, если для их решения нужно отвлечь ресурсы, которые ему зарабатывают 50%

и еще от миллиона вещей

Бизнесу срать на потери 0.0001% от оборотки, если для их решения нужно отвлечь ресурсы, которые ему зарабатывают 50%

Ну во первых это аргумент против селинукса, а не за

а ты предлагаешь только на фронтэнде включить селинукс?

Предлагаю использовать изоляцию в тех местах, где она нужна. На нагруженной БД изоляция может обойтись слишком дорого. И в 2017г существуют кейсы, когда до сих пор приходится юзать голое железо, зарубаясь за каждый iops

Предлагаю использовать изоляцию в тех местах, где она нужна. На нагруженной БД изоляция может обойтись слишком дорого. И в 2017г существуют кейсы, когда до сих пор приходится юзать голое железо, зарубаясь за каждый iops

конечно существуют. Но таки selinux не защитит означенного чувака с гитлабом от спама

потому что гитлабу может быть нужно слать почту, а значит это будет разрешено

и поломав гитлаб чувак потеряет сырцы проектов приватных и получит спам-бота себе впридачу

конечно существуют. Но таки selinux не защитит означенного чувака с гитлабом от спама

Тут я солидарен

вообще защита от угроз должна отталкиватся от модели угроз

пока это "давайте воткнем селинукс, ибо секурно" это тоже не выходит за уровень студенческой лабы

Именно. О чем и толкую

Просоветуете чего-нить почитать по пенетрейшн тестингу?

ERROR: S client not available

посоны

как заставить qemu думать что он интел?

мне нужен GenuineIntel

а оно думает что оно AuthenticAMD

smbios

как заставить qemu думать что он интел?

http://wiki.qemu.org/download/qemu-doc.html -smbios type=0[,vendor=str][,version=str][,date=str][,release=%d.%d][,uefi=on|off] и далее

Здрасти

пустые переменные почему то в php скрипт приходят

есть буттрап шаблон в формой, которая отправляет письма через php

проблема в том что переменные из формы передаются в php файл пустыми...

вот форма

а вот пхпщка

fio email message пустые в письме... сами письма ходят

То есть метод $_post возвращает пусто

попробуй get вместо post

каждый раз видя в пхп два вида кавычек мне хочется плакать )

Почему?

потому что будто насрано )

плюс двойные кавычки на уровне интерпретатора чуть сложнее обрабатываются

Ааа, ну я хз, не пограммист, мб так и есть.

ну просто тебе самому как стандартизация?

каждый раз видя в пхп два вида кавычек мне хочется плакать )

А у меня от знака долла рп для переменных слезы

нужна или пофиг

Не моё код, мне наплевать)

А у меня от знака долла рп для переменных слезы

это лексема

У меня говнокод похлеще

:D

ацтань!