А самому слишком много всего допиливать

уря, вайн починили :)

Для десктопа не готово :(

да, да, линь он такой :)

Кек

Зачетно - рекомендую к прочтению: https://habrahabr.ru/company/virtuozzo/blog/332740/

макось, кстати, с чего-то кроме внутренней ssd вроде грузилась, да и ливцд для починки дисков там где-то есть

Отдельный раздел на ssd

Ну у нас чо - нет заморозки, нет проблем.

А так то не будем вспоминать как ata чинили 3 релиза

А есть тут счастливые пользователи связки FreeBSD + Puppet ?

Или кто только собирается им стать

народ, а укого .so файлы библиотек питона показываются через ldd ?

народ, а укого .so файлы библиотек питона показываются через ldd ?

В смысле?

вот пример обычного файла

/usr/local/lib# ldd libxml2.so libxml2.so: libz.so.6 => /lib/libz.so.6 (0x801396000) liblzma.so.5 => /usr/lib/liblzma.so.5 (0x8015af000) libm.so.5 => /lib/libm.so.5 (0x8017d8000) libc.so.7 => /lib/libc.so.7 (0x800824000) libthr.so.3 => /lib/libthr.so.3 (0x801a03000)

а вот питоновская либа

ldd ujson.so ujson.so: ldd: ujson.so: Shared object "ujson.so" not found, required by "ldd" ujson.so: exit status 1

/usr/local/lib/python3.5/lib-dynload/_sqlite3.so: libsqlite3.so.0 => /usr/local/lib/libsqlite3.so.0 (0x801213000) libpython3.5m.so.1.0 => /usr/local/lib/libpython3.5m.so.1.0 (0x801600000) libc.so.7 => /lib/libc.so.7 (0x800824000) /usr/local/lib/libsqlite3.so.0:

/usr/local/lib/python2.7/site-packages# ldd ujson.so ujson.so: ldd: ujson.so: Shared object "ujson.so" not found, required by "ldd" ujson.so: exit status 1

% ldd /usr/local/lib/python2.7/site-packages/libxml2mod.so /usr/local/lib/python2.7/site-packages/libxml2mod.so: libpython2.7.so.1 => /usr/local/lib/libpython2.7.so.1 (0x80168b000) libintl.so.8 => /usr/local/lib/libintl.so.8 (0x801a7b000) libutil.so.9 => /lib/libutil.so.9 (0x801c86000) libm.so.5 => /lib/libm.so.5 (0x801e9a000) libxml2.so.2 => /usr/local/lib/libxml2.so.2 (0x8020c6000) libz.so.6 => /lib/libz.so.6 (0x802455000) libc.so.7 => /lib/libc.so.7 (0x800827000) libthr.so.3 => /lib/libthr.so.3 (0x80266e000) liblzma.so.5 => /usr/lib/liblzma.so.5 (0x802896000)

> ldd greenlet.so greenlet.so: ldd: greenlet.so: Shared object "greenlet.so" not found, required by "ldd" greenlet.so: exit status 1 > ldd ./greenlet.so ./greenlet.so: libpython2.7.so.1 => /usr/local/lib/libpython2.7.so.1 (0x801206000) libc.so.7 => /lib/libc.so.7 (0x800824000) libthr.so.3 => /lib/libthr.so.3 (0x8015f0000) libintl.so.8 => /usr/local/lib/libintl.so.8 (0x801818000) libutil.so.9 => /lib/libutil.so.9 (0x801a23000) libm.so.5 => /lib/libm.so.5 (0x801c37000)

хех ))

странно

Наверное прочто разное понимание где нужно искать библиотеку и сначала оно лезет в каталоги явно указанные как */lib/

А локальный каталог не входит в список злачных мест.

ну да ldconfig -r | grep search search directories: /lib:/usr/lib:/usr/lib/compat:/usr/local/lib:/usr/local/lib/compat:/usr/local/lib/gcc49:/usr/local/lib/gcc5:/usr/local/lib/graphviz:/usr/local/lib/jitsi/lib/native:/usr/local/lib/libxul:/usr/local/lib/mysql:/usr/local/lib/mysql/plugin:/usr/local/lib/nss:/usr/local/lib/perl5/5.24/mach/CORE:/usr/local/lib/qt4:/usr/local/lib/qt5:/usr/local/lib/samba4:/usr/local/llvm37/lib:/usr/local/llvm39/lib:/usr/local/llvm40/lib:/usr/local/share/chromium

VeraCrypt снова на FreeBSD: http://www.opennet.ru/opennews/art.shtml?num=46831

VeraCrypt снова на FreeBSD: http://www.opennet.ru/opennews/art.shtml?num=46831

"снова" - а разве когда-то ранее был?

порт только завис на несколько лет наверное: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=217775

когда актуален был TrueCrypt - то он поддерживал FreeBSD. Потом случилась странное, проект форкнули - и официальной поддержки не стало

Кстати - кто нибудь пользуется проектом DuoSecurity для защиты доступа по SSH, RDP и т.д. ?

оно виндовое ?

кросс-платформенное

и зачем оно на FreeBSD ?

двух-факторная аутентификация. второй фактор - через телефон (push либо смс).

kerberos ?

входишь по SSH по ключу, например, потом на телефоне получаешь push, видишь SourceIP и подтверждаешь

аналогично и по RDP, OWA, просто какой нить CMS

OPIE ?

да

до 10 логинов бесплатен

я уже 1,5 года пользуюсь на SSH и на RDP

с SSH через PAM интегрируется

вполне можно через pam_exec написать простенький скрипт на sh, который отправит пароль на sms

... только смски несекурны

они ж передаются открытым текстом

SMS будет через сотовый, соединенный с сервером ? или mail-to-sms шлюз ?

вот если б оно слало шифрованные емейлы...

да с подписью...

и таки да - push на телефон идет по TLS. более защищенный по идее

плюс в Push ты видишь source IP и логин

(но у меня на айфоне gpg не работает чот)

вообще, считаю логин по ключам достаточно секурным и без этого вашего 2FA

* по ключам без PAM вовсе

поэтому пока ты веришь DuoSecurity - все норм )

> пока веришь

вот я не верю

ровно до тех пор, пока машину через браузер не поломают и не считают ключи из ОЗУ машины )

привлекать к логину каких-то совершенно левых чуваков, про которых неизвестно, скоро ли они забьют с прибором на свой сервис... нда

это какой-то IoT approach, честно говоря

всегда приходится верить во что-то )))) или вообще все выключить и не включать

заливаешь бензин - веришь, что тебе продают нормальный без воды и мочи...

а чем pam_exec не устраивает ?

проверять нужно прост

естественно ) легкая параноя помогает иногда )

часто ли Вы анализируете netflow статистику с Вашей машины за месяц ? :)

ERROR: S client not available

сколько пингов и кому было передано ? :)

я поглядываю на daily security run output

;)

иногда китайцы ломятся со страшной силой

общую идею все уловили )

но у меня fail2ban, чтобы их позлить, и логин по ключу и только по нему, а они это дело ещё не осилили

эээ ? вроде ж в ssh уже давно встроили blacklistd от OpenBSD ?

оно какое-то странное, как мне показалось

я на него глядел, вроде даже понял, как оно работает, мне что-то не понравилось

не помню уже, что

собственно взлом бывает веерный и целевой...от веерного уже все давно научились защищаться...а вот от целевого - только паранойя, разные honey-point-ы и разнородные системы....

т.е. левую приблуду не считаешь странной, а штатные средства странными ?

fail2ban? он чисто для декоративных целей

у меня на рабочих машинах вообще файрвол не запущен

я ipfw баловался лет 10 назад

вопрос - левая она или правая - очень философский...у всех разные авторитеты и приоритеты...

у меня запущен, потому что нужен NAT

а между тем наше будущее - микросегментация...когда каждый сервис внутри клетки-контейнера-тюрьмы, обложенный межсетевыми экранами со всех сторон...

с тех пор я понял, что правильно настроенные сервисы - гораздо лучше файрвола

вот зачем на сервере "светить" ssh или syslog во все интерфесы ?

гм, а здравая мысль, только не всегда применима, увы

вот кстати последние события (тот же NoPetya) показали, что никто не застрахован от того, что Ваша "хорошая" софтина, аля любымый браузер, скайп, telegram клиент завтра не получат автообновление с "правильной" dll-кой либо .so библиотекой...любимая программа обновится и поехали....

понятно, что взлом инфраструктуры поставщика ПО это сложно...но возможно же...

щто

петя прилетал по фишингу же

дальше расползался по непатченной сети

а что, сложно в виндовсесделать Пуск - Выполнить - cmd

а в командной строке набрать "netstat -nao" ?

и посмотреть, какие сервисы биндятся на каких портах

и поотключать их нафиг

ну и как это спасет от софта, который сутки накапливает нажатые кнопки в файлик и 1 раз в 24 часа его отправит куда нужно ? :)

а как этот совт попадет на комп ?