Зеркало Telegram-чата "Репка / Repka-Pi"

  • Автор темы Репка / Repka-Pi
  • Дата начала
Ну пользоваться или не пользоваться тем или иным инструментом дело каждого. Мне тоже в большинстве случаев привычнее отключить вход по логину и паролю оставив только вход по ключам.


я просто про то, что без fail2ban тоже вполне можно жить, и довольно успешно
 
они используют инъекции в скриптах. Даже у последних версий phpmyadmin есть уязвимости в библиотеках. Они не напрямую в index бьют, а в конкретные библиотеки.
Чем массовее средство, тем больше у него багов и средств для атак.


Ну тогда один путь завернуть внутрь локалки и использовать ssh туннель
 
я просто про то, что без fail2ban тоже вполне можно жить, и довольно успешно


одно из...да... если речь про доступ к серверу для мониторинга, то достаточно. Как только начинаешь открывать порты для сторонних программ, веб сервера, для портов датчиков, всякие библиотеки для связи... на них отдельные правила...
 
А что мешает использовать для phpmyadmin?

[phpmyadmin]
enabled = true
filter = phpmyadmin
port = https,http
action = iptables-multiport[name=phpmyadmin, port="http,https", protocol=tcp]
vesta[name=PHPMYADMIN]
logpath = /var/log/auth.log
findtime = 3600
maxretry = 3
bantime = 604800


от использования дефолнтых паролей подобное не поможет, а вот самому себе гемора на три попытки очень даже может создать
 
одно из...да... если речь про доступ к серверу для мониторинга, то достаточно. Как только начинаешь открывать порты для сторонних программ, веб сервера, для портов датчиков, всякие библиотеки для связи... на них отдельные правила...


да, там надо внимательно смотреть.
 
алерты в бота и скрипты обнуления попыток через него же.
 
да все поняли, безопасная безопасность - это отдельная ветка. Просто для новичков инфо, чтобы не рисковали на старте своими данными и делали минимальную обвязку, блокировку от ботов, сложные пароли.. это уже убережет на 90%. А дальше тонкости, которые постигнут в процессе.. когда чувствительность к пропаже данных станет существенной, сами они догадаются делать дампы, усложнять доступ и т д
 
Хотя это уже другая стадия понимания
 
есть относительно простое правило -
вообще не байндить ничего не на локалхост, кроме ssh на большом порту и nginx.
через nginx прокидывать поименно только те ендпоинты, которые хорошо понятны и сконфигурированы - все остальное, при желании, через ssh туннель.

дешево и сердито.
 
есть относительно простое правило -
вообще не байндить ничего не на локалхост, кроме ssh на большом порту и nginx.
через nginx прокидывать поименно только те ендпоинты, которые хорошо понятны и сконфигурированы - все остальное, при желании, через ssh туннель.

дешево и сердито.


Вот тут полностью согласен
 
причем, чем больше порт, тем меньше мусора :)))
 
ну не прямо так, конечно :)
но есть смысл делать порт подальше