об этом речь

я про то, что есть тенденция к взлому инфраструктуры поставщиков ПО и их системы автообновления...

вот и получается - что строишь строишь защиту, наворачиваешь то, се, другое...сервисы правильно настраиваешь, межсетевые экраны. А потом в один прекрасный момент обновится, например, скайп или другой массовый софт на рабочих станциях ) и все насмарку. поэтому наше будущее - микросегментация - изоляция одного ПО от другого средствами операционной системы. как то так

это уже далекое прошлое

ставишь TrueBSD, или как оно там сейчас

и там прямо при установке пакета оно предлагает для него создать отдельный jail

только вот не все в курсе ) и не все готовы. Тот же Microsoft NANo-сервер еще только только выпустил...и там кроме обрезанного IIS ничего не запустишь. По FreeBSD у меня никаких вопросов и претензий нет - сижу на CBSD - все сервисы по клеткам.

вроде еще с PC-BSD 9.0 умело

ставишь TrueBSD, или как оно там сейчас

TrueOS

TrueBSD -- это было давно и совсем-совсем не про это %)

;)

у меня только веб-мордочки в джейле живут

но я ленивая жопа

с обычными jail я бы тоже ленился ) но CBSD как раз для ленивых ) как в мультике - ноги, крылья и хвосты ) один раз время потратил на изучение - теперь быстро летим )

ну сделай себе алиас в .cshrc

pkg install $1 pkg -j $1 install $1

да ну

только хардкор.... ;)

install в том джейле редкость

upgrade куда как чаще

хотя postfix/imapd перенести в джейл всё же не повредит, наверное

но потом

еще меня очень прет возможность export-а в сжатый img - я их по расписанию делаю и раскидываю по другим сервакам. Чтобы в случае сбоя железа иметь возможность поднять клетку за 3-4 минуты со всеми настройками и контентом.

эээ

я про то, что есть тенденция к взлому инфраструктуры поставщиков ПО и их системы автообновления...

Это проблема тех кто использует проприетарщину только

geom_gate ?

NFS + bhyve ?

Нормальные люди про это забыли когда увидели порты

А остальные всё мучаются с сегментациями да контейнерами, и что-то всё равно всё дырявое выходит

делаешь образ диска

раскидываешь его по куче NFS серверов

подключаешь эти образы как диски к bhyve

делаешь geom_raid

и ух ты

там же в man bhyve пример есть

bhyve -c 4 \ -s 0,amd_hostbridge -s 1,lpc \ -s 1:0,ahci,hd:/images/disk.1,hd:/images/disk.2,\ hd:/images/disk.3,hd:/images/disk.4,\ hd:/images/disk.5,hd:/images/disk.6,\ hd:/images/disk.7,hd:/images/disk.8,\ cd:/images/install.iso \ -s 3,virtio-net,tap0 \ -l com1,/dev/nmdm0A \ -A -H -P -m 8G

8 дисков

Но, справедливости ради, уязвимости никто не отменял, так что оно не помешант. Но вот какие-то левые бинарники до сих пор использовать - это для меня дикость

входишь по SSH по ключу, например, потом на телефоне получаешь push, видишь SourceIP и подтверждаешь

pam_google_authenticator есть в портах

ну, пример с bhyve - это для бедных

нормальные конторы используют iSCSI

нормальные конторы используют iSCSI

а совсем уж выше нормального: FC )

хотя как можно сравнивать гипервизор с транспортным протоколом

Google это такая же левая контора, так что шило на мыло

Google это такая же левая контора, так что шило на мыло

это в каком контексте?

Либо прямой push на телефон либо вообще port knocking

Ну там вон выше про какие-то duo security, sms

Google я бы доверял ещё меньше

ну во всем мире используется VPN

попадаешь с помощью VPN на пограничный хост, а на нем уже проходишь авторизацию

у нас все сервисы (ssh,gerrit,vpn,aws,..) почти на двухфакторке через google_authenticator (если что - с Google сервисом это никак не связано), работает вполне неплохо.

попадаешь с помощью VPN на пограничный хост, а на нем уже проходишь авторизацию

Какая разница куда попадать? Важно чтобы сервис убедился что это точно ты

оно какое-то странное, как мне показалось

у меня кстати пашет исправно, https://pastebin.com/QxdL0Xgx лочит тут налево-направо всех

а если проблемы в 12 часов ночи 31 декабря ?

2FA с использованием левых сервисов безопасность только снижает

когда штормит всех мобильных операторов ?

можно двухфакторку и на email настроить, это не только sms или sms-only

Да что угодно можно, главное чтоб без левых контор. Они и лежать будут с большей вероятностью

А, google_authrnticator это totp, так бы и сказали

Говорят новые версии приложения проприетарные

Но это можно хоть самому написать

В fdroid даже их валом

парни зачем так он ?

# fetch -v http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly/Latest/pkg.txz resolving server address: pkg.FreeBSD.org:80 requesting http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly/Latest/pkg.txz fetch: http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly/Latest/pkg.txz: Connection reset by peer

и выкинули образ stable ftp://ftp.freebsd.org/pub/FreeBSD/snapshots/ISO-IMAGES/11.1/

ERROR: S client not available

хм. дупы при пинге дожны быть ?

чото сомнение. # ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=44 time=14.918 ms 64 bytes from 8.8.8.8: icmp_seq=0 ttl=43 time=15.041 ms (DUP!) 64 bytes from 8.8.8.8: icmp_seq=1 ttl=44 time=5.568 ms 64 bytes from 8.8.8.8: icmp_seq=1 ttl=43 time=5.573 ms (DUP!)

нет

где-то петля

нет петли. такое поведение только в фре.

поменял драйвера в виртуалбоксе на virtio - так же.

нет петли. такое поведение только в фре.

ну так трасерни, или какой дебаг вруби, ну на худой конец откуда по соседсву пропингуй

да я разобрался уже. дело в том что виртуалбокс как то херова делает бридж для фряхи

я хз как это может быть но второй ответ приходит с маком стевухи

ЕМНИП если есть фряхин bridge, он нарушает работу vbox-net-драйвера. Те, когда-то давным давно ifconfig bridgeX destroy меня спасало, когда на хосте оказывался и бридж и vbox

фря гостем

http://www.freshports.org/sysutils/powermon/ ишь ты :)

количество портов неуклонно растет...что очень радует

парни, а ансибл и фря они как бы совместимы не ?

совместимы

как и puppet

ясным по белому говорю - name: "Install PostgreSQL" pkgng: name: "{{item}}" state: present with_items: - 'postgresql{{postgresql_version|replace(".","")}}-server' - 'py27-psycopg2' - 'postgresql{{postgresql_version|replace(".","")}}-contrib'

{{postgresql_version|replace(".","")}} == 9.4

два пакета встают. сервер нет

и даже удаляется

с консоли ставит норм pkg install postgresql94-server Updating FreeBSD repository catalogue... FreeBSD repository is up to date. All repositories are up to date. Checking integrity... done (0 conflicting) The following 1 package(s) will be affected (of 0 checked): New packages to be INSTALLED: postgresql94-server: 9.4.12_1 Number of packages to be installed: 1

но проход ансибла удаляет пакет...

ну так запусти с дебагом -vvvvv и глянь что творится

может чего ждёт

да да

ща

это ж ансибл :)

просто мне вот так то вот отдается ASK [postgres : Install PostgreSQL] *************************************************************************************************************** changed: [freebsd01] => (item=[u'postgresql94-server', u'py27-psycopg2', u'postgresql94-contrib'])

чанджед говорит сцуко :)

ну так повысь уровень дебага, там же должно до команд и выхлопа быть видно

да да ща

ну может модуль кривой, он же не базовый, может сделали и забили