Простая и удобная утилита для работы с SSL-сертификатами. Позволяет легко создавать самоподписанные сертификаты, запросы на сертификат, конвертировать одни форматы в другие.
Все это можно сделать при помощи OpenSSL, но если делать это не каждый день, то придется каждый раз искать ключи и примеры команд.
Данная утилита представляет собой скрипт, который также использует OpenSSL, но выполняет все самые распространенные команды вместо вас.
https://github.com/tdharris/openssl-toolkit
Все это можно сделать при помощи OpenSSL, но если делать это не каждый день, то придется каждый раз искать ключи и примеры команд.
Данная утилита представляет собой скрипт, который также использует OpenSSL, но выполняет все самые распространенные команды вместо вас.
https://github.com/tdharris/openssl-toolkit
👍66
🤠 Удивительное рядом!
Есть у меня внешний бокс AgeStar 3UB2P3, вещь самая обычная, внутри JMS578.
Внезапно обнаружилось, что эта железка "запоминает" последний подключенный диск и впоследствии продолжает им представляться, даже если внутри никакого диска нет.
Для чистоты эксперимента поставил в бокс синий WD 500 ГБ, подключил к основному ПК.
Затем диск вынул и подключил к POS-терминалу, который только что был залит из заводского образа и ни этот диск, ни этот бокс туда ни разу не подключались. Результат на скриншоте выше.
Вот такие дела... 🤷♂️
Есть у меня внешний бокс AgeStar 3UB2P3, вещь самая обычная, внутри JMS578.
Внезапно обнаружилось, что эта железка "запоминает" последний подключенный диск и впоследствии продолжает им представляться, даже если внутри никакого диска нет.
Для чистоты эксперимента поставил в бокс синий WD 500 ГБ, подключил к основному ПК.
Затем диск вынул и подключил к POS-терминалу, который только что был залит из заводского образа и ни этот диск, ни этот бокс туда ни разу не подключались. Результат на скриншоте выше.
Вот такие дела... 🤷♂️
😁17👍7🤯2
OpenVPN объединяем ключи и конфигурацию клиента в один файл
OpenVPN достаточно широко применяется системными администраторами как для объединения сетей офисов и филиалов, так и для доступа корпоративных клиентов. В последнем случае процесс настройки может доставить некоторые неудобства, особенно если таких клиентов много.
Действительно, на удаленный компьютер нужно скачать ключи и сертификаты, разместить их в определенном месте, прописать пути к ним в конфигурацию. К счастью, можно значительно облегчить себе работу, достаточно объединить ключи и настройки клиента в один файл.
https://interface31.ru/tech_it/2020/04/openvpn-ob-edinyaem-klyuchi-i-konfiguraciyu-klienta-v-odin-fayl.html
OpenVPN достаточно широко применяется системными администраторами как для объединения сетей офисов и филиалов, так и для доступа корпоративных клиентов. В последнем случае процесс настройки может доставить некоторые неудобства, особенно если таких клиентов много.
Действительно, на удаленный компьютер нужно скачать ключи и сертификаты, разместить их в определенном месте, прописать пути к ним в конфигурацию. К счастью, можно значительно облегчить себе работу, достаточно объединить ключи и настройки клиента в один файл.
https://interface31.ru/tech_it/2020/04/openvpn-ob-edinyaem-klyuchi-i-konfiguraciyu-klienta-v-odin-fayl.html
👍22
Не без гордости: собираем все разработки и технологии русскоязычного IT в журнале «Квазар»
Из последних:
1. В «Сколково» создали самый большой 3D-принтер. С его помощью можно напечатать крылья для самолёта.
2. В Москве заработала система «Автокондуктор» на основе нейросети. Она будет оценивать загруженность транспортных узлов и рассчитывать интервалы движения.
О других IT-решениях для бизнеса читайте в «Квазаре».
Подписывайтесь!
Из последних:
1. В «Сколково» создали самый большой 3D-принтер. С его помощью можно напечатать крылья для самолёта.
2. В Москве заработала система «Автокондуктор» на основе нейросети. Она будет оценивать загруженность транспортных узлов и рассчитывать интервалы движения.
О других IT-решениях для бизнеса читайте в «Квазаре».
Подписывайтесь!
👍7👎3
Форматы сертификатов X.509 (SSL) и преобразования между ними
SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний.
Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.
https://interface31.ru/tech_it/2022/12/formaty-sertifikatov-x509-ssl-i-preobrazovaniya-mezhdu-nimi.html
SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний.
Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.
https://interface31.ru/tech_it/2022/12/formaty-sertifikatov-x509-ssl-i-preobrazovaniya-mezhdu-nimi.html
👍33👏1
Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik
Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой.
Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.
https://interface31.ru/tech_it/2020/10/nastroyka-kontrollera-capsman-na-mikrotik.html
Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой.
Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.
https://interface31.ru/tech_it/2020/10/nastroyka-kontrollera-capsman-na-mikrotik.html
👍24
Обзор Astra Linux SE 1.7 Орел
Astra Linux сегодня является безусловным лидером по импортозамещению и широко применяется в государственных и силовых структурах. В отличии от других систем Astra Linux Special Edition является полностью коммерческой и не имеет бесплатных версий. Существующая редакция Common Edition по сути является другой системой.
Однако, при некоторой настойчивости, дистрибутив Astra Linux SE можно найти в свободном доступе на официальном сайте, что позволяет ознакомиться с системой, но не дает права ее использования.
https://interface31.ru/tech_it/2022/12/obzor-astra-linux-se-17-orel.html
Astra Linux сегодня является безусловным лидером по импортозамещению и широко применяется в государственных и силовых структурах. В отличии от других систем Astra Linux Special Edition является полностью коммерческой и не имеет бесплатных версий. Существующая редакция Common Edition по сути является другой системой.
Однако, при некоторой настойчивости, дистрибутив Astra Linux SE можно найти в свободном доступе на официальном сайте, что позволяет ознакомиться с системой, но не дает права ее использования.
https://interface31.ru/tech_it/2022/12/obzor-astra-linux-se-17-orel.html
👍24👎7
Обзор российских ОС. Альт Рабочая станция 10
ALT Linux - один из самых старых, известных и самобытных, в хорошем смысле этого слова, отечественных дистрибутивов. А еще он самый российский из всех, так как весь цикл разработки ПО происходит в собственной экосистеме и отсутствует зависимость от других дистрибутивов.
Также Альт - это еще и самый большой отечественный репозиторий - Sisyphus. Альт Рабочая станция - один из основных продуктов в линейке операционных систем Альт, предназначенный для автоматизации рабочих мест и работы с широким спектром программного обеспечения.
https://interface31.ru/tech_it/2022/05/obzor-rossiyskih-os-alt-rabochaya-stanciya-10.html
ALT Linux - один из самых старых, известных и самобытных, в хорошем смысле этого слова, отечественных дистрибутивов. А еще он самый российский из всех, так как весь цикл разработки ПО происходит в собственной экосистеме и отсутствует зависимость от других дистрибутивов.
Также Альт - это еще и самый большой отечественный репозиторий - Sisyphus. Альт Рабочая станция - один из основных продуктов в линейке операционных систем Альт, предназначенный для автоматизации рабочих мест и работы с широким спектром программного обеспечения.
https://interface31.ru/tech_it/2022/05/obzor-rossiyskih-os-alt-rabochaya-stanciya-10.html
👍36👎8
Сегодня снова понадобилось по быстрому разместить DNS-зону для тестовых целей. С Яндексом связываться не хочется, просто по причине муторности этой затеи - там домен надо привязывать, подтверждать.
Вспомнил про https://www.cloudns.net - проверил, жив, работает. Отдельно проверил, что новые регистрации из зоны RU на ящики RU работают.
Бесплатный тариф, конечно, поджали, но все равно нормально: 1 зона - 50 записей - 500к запросов в месяц (было 3 зоны - 100 записей и 5М запросов).
В целом неплохой DNS-хостинг, поддерживает все типы записей. А 500к за глаза хватит для личных, тестовых и прочих, не предполагающих большую нагрузку целей.
Вспомнил про https://www.cloudns.net - проверил, жив, работает. Отдельно проверил, что новые регистрации из зоны RU на ящики RU работают.
Бесплатный тариф, конечно, поджали, но все равно нормально: 1 зона - 50 записей - 500к запросов в месяц (было 3 зоны - 100 записей и 5М запросов).
В целом неплохой DNS-хостинг, поддерживает все типы записей. А 500к за глаза хватит для личных, тестовых и прочих, не предполагающих большую нагрузку целей.
👍22❤1
Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10
Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют переходить на Альт. Сервер 1С:Предприятия - также одна из самых востребованных ролей.
И вот мы начали получать сообщения, что многие испытывают сложности с настройкой этой связки, хотя проблемам там взяться, вроде бы неоткуда. Поэтому мы самостоятельно изучили данный вопрос и подготовили практическую инструкцию с учетов всех особенностей и подводных камней для Альт Сервер 10
https://interface31.ru/tech_it/2022/12/ustanovka-servera-1cpredpriyatiya-postgresql-apache2-na-alt-server-10.html
Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют переходить на Альт. Сервер 1С:Предприятия - также одна из самых востребованных ролей.
И вот мы начали получать сообщения, что многие испытывают сложности с настройкой этой связки, хотя проблемам там взяться, вроде бы неоткуда. Поэтому мы самостоятельно изучили данный вопрос и подготовили практическую инструкцию с учетов всех особенностей и подводных камней для Альт Сервер 10
https://interface31.ru/tech_it/2022/12/ustanovka-servera-1cpredpriyatiya-postgresql-apache2-na-alt-server-10.html
👍43🔥9😁2❤1🤯1
Записки IT специалиста pinned «Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10 Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют…»
Особенности применения программных лицензий 1С:Предприятие
Программные лицензии 1С:Предприятия являются на сегодня основным вариантом для лицензирования, предоставляя администраторам новые возможности и снимая некоторые ограничения аппаратных ключей.
В тоже время применение программных лицензий имеет свои особенности, которые способны вызвать немало затруднений, несмотря на то, что они довольно подробно описаны в руководстве администратора, которое "по традиции" никто не читает.
Поэтому мы решили подготовить данный материал, включив в него как официальную информацию, так и собственные пояснения, и примеры.
https://interface31.ru/tech_it/2015/08/osobennosti-primeneniya-programmnyh-licenziy-1spredpriyatie.html
Программные лицензии 1С:Предприятия являются на сегодня основным вариантом для лицензирования, предоставляя администраторам новые возможности и снимая некоторые ограничения аппаратных ключей.
В тоже время применение программных лицензий имеет свои особенности, которые способны вызвать немало затруднений, несмотря на то, что они довольно подробно описаны в руководстве администратора, которое "по традиции" никто не читает.
Поэтому мы решили подготовить данный материал, включив в него как официальную информацию, так и собственные пояснения, и примеры.
https://interface31.ru/tech_it/2015/08/osobennosti-primeneniya-programmnyh-licenziy-1spredpriyatie.html
👍23
Forwarded from EFSOL
Media is too big
VIEW IN TELEGRAM
📺 Видеоинструкция: Настройка сетей в Hyper-V
В данной инструкции от EFSOL IT мы рассмотрим варианты настройки сетей в Hyper-V, расскажем для чего служит каждый тип виртуального коммутатора и покажем базовую настройку каждого из них.
Смотреть на Youtube
В данной инструкции от EFSOL IT мы рассмотрим варианты настройки сетей в Hyper-V, расскажем для чего служит каждый тип виртуального коммутатора и покажем базовую настройку каждого из них.
Смотреть на Youtube
👍13
Настройка файлового сервера Samba на платформе Debian / Ubuntu
Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении.
Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в то же время мощное решение по организации общего доступа к файлам и папкам в Windows сетях.
В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.
https://interface31.ru/tech_it/2019/06/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu.html
Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении.
Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в то же время мощное решение по организации общего доступа к файлам и папкам в Windows сетях.
В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.
https://interface31.ru/tech_it/2019/06/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu.html
🔥24👍7❤1
Обновлена и дополнена статья:
ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)
В частности актуализирован список зависимостей, которые пакет сам подтягивать не умеет.
А также добавлен раздел о пересборке пакета с собственными настройками, так как по умолчанию выделение памяти явно не соответствует ее реальному потреблению.
https://interface31.ru/tech_it/2021/06/egais-ustanavlivaem-utm-420-na-debian-ubuntu.html
ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)
В частности актуализирован список зависимостей, которые пакет сам подтягивать не умеет.
А также добавлен раздел о пересборке пакета с собственными настройками, так как по умолчанию выделение памяти явно не соответствует ее реальному потреблению.
https://interface31.ru/tech_it/2021/06/egais-ustanavlivaem-utm-420-na-debian-ubuntu.html
👍15👏2🔥1
Минимальная версия протокола для Samba
После опубликования нами заметки о Samba-сервере вполне ожидаемо всплыл вопрос об указании минимальной версии протокола, потом не менее ожидаемо всплыла конструкция с указанием всех четырех доступных параметров, да еще в подробной форме.
Давайте разбираться. Существуют два клиентских и два серверных параметра:
🔹
А теперь вспомним, как происходит установление соединения: обе стороны выбирают наиболее производительный диалект протокола из доступных клиенту и поддерживаемых сервером.
Документация Samba вообще не рекомендует трогать опции
Остаются серверные опции. В целях повышения безопасности следует отключить SMB1 и все более ранние протоколы, оставив только SMB2 и выше.
Samba позволяет указывать протоколы следующим образом (документация без перевода):
🔸 SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available.
🔹
🔹
By default SMB2 selects the SMB2_10 variant.
🔸 SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available.
🔹
🔹
🔹
By default SMB3 selects the SMB3_11 variant.
Таким образом, просто указав SMB2 или SMB3 мы всегда получим старшую версию протокола.
При этом по умолчанию используются следующие значения:
🔹
Максимальная, наоборот, указывает на самую старшую версию протокола SMB3.
☝️ Нужно ли здесь что-то менять? Не нужно. Настройки по умолчанию вполне соответствуют требованиям безопасности и совместимости.
👉 При необходимости можно изменить
После опубликования нами заметки о Samba-сервере вполне ожидаемо всплыл вопрос об указании минимальной версии протокола, потом не менее ожидаемо всплыла конструкция с указанием всех четырех доступных параметров, да еще в подробной форме.
Давайте разбираться. Существуют два клиентских и два серверных параметра:
🔹
client min/max protocol
🔹 server min/max protocol
Которые задают минимальную и максимальную версии протокола, которые могут быть использованы клиентом или сервером.А теперь вспомним, как происходит установление соединения: обе стороны выбирают наиболее производительный диалект протокола из доступных клиенту и поддерживаемых сервером.
Документация Samba вообще не рекомендует трогать опции
client min/max protocol без осознанного понимания, для чего вы это делаете. Остаются серверные опции. В целях повышения безопасности следует отключить SMB1 и все более ранние протоколы, оставив только SMB2 и выше.
Samba позволяет указывать протоколы следующим образом (документация без перевода):
🔸 SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available.
🔹
SMB2_02: The earliest SMB2 version.🔹
SMB2_10: Windows 7 SMB2 version.By default SMB2 selects the SMB2_10 variant.
🔸 SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available.
🔹
SMB3_00: Windows 8 SMB3 version.🔹
SMB3_02: Windows 8.1 SMB3 version.🔹
SMB3_11: Windows 10 SMB3 version.By default SMB3 selects the SMB3_11 variant.
Таким образом, просто указав SMB2 или SMB3 мы всегда получим старшую версию протокола.
При этом по умолчанию используются следующие значения:
🔹
server max protocol = SMB3
🔹 server min protocol = SMB2_02
Обратите внимание, что для SMB2 минимальная версия протокола указана явно, для обеспечения обратной совместимости. Максимальная, наоборот, указывает на самую старшую версию протокола SMB3.
☝️ Нужно ли здесь что-то менять? Не нужно. Настройки по умолчанию вполне соответствуют требованиям безопасности и совместимости.
👉 При необходимости можно изменить
server min protocol, если вы твердо знаете, что поддерживаемая всеми вашими клиентами версия протокола не ниже указываемого значения.
👍28
Как всегда, под Новый год принято подбивать итоги, сдавать проекты, получать деньги. Но, тоже, как всегда, Новый год имеет особенность подкрадыватсья незаметно...
Anonymous Poll
10%
Все дела сделаны, проекты сданы, наряжаю елочку...
17%
Все по плану, сдаем, получаем, готовимся наряжать...
14%
Что, уже? Ну еще вся ночь впереди! Срочно добиваем то, что надо было сделать вчера...
16%
Работа не волк, как стояла, так и будет стоять...
9%
Мне пофиг, я бюджетник...
7%
И немедленно выпил…
26%
Я не пью, я посмотреть ответы.
👍1
Forwarded from EFSOL
🔥 Поиск объекта DDoS-атаки в большой сети
В случае наличия большой ИТ-структуры с большим количеством независимых сервисов при DDoS-атаке может возникнуть проблема выявления конкретного сервиса который подвергся DDoS.
Особенно это актуально, если в компании массово используются локальные сервисы типа Gitlab, Confluence и т.п. Все они содержать большое количество уязвимостей и часто становятся объектами атаки, превращаясь в "зомби" или проксируя DDoS-трафик.
Как проявляется DDoS-атака в ИТ-инфраструктуре?
В какой-то неприятный момент времени, удаленный доступ ко всем сервисам становится крайне нестабильным, постоянно все отваливается, реконнектится, при этом внутри сети все работает нормально.
‼️ Для того чтобы быстро выявлять объект атаки нужно настроить качественный мониторинг основных сетевых узлов.
Порядок определения объекта атаки:
1) Обязательно должен быть мониторинг трафика входящего/исходящего, количества пакетов в сек. (PPS), количества одновременных сессий и загрузки процессора основного роутера. Это позволит установить тип DDoS-атаки.
2) В случае применения VLAN, зачастую их настраивают на свитчах 3-го уровня, значит нужно иметь мониторинг трафика и PPS на каждом VLAN. На этом этапе вычисляется проблемный VLAN.
3) Далее остается вычислить проблемный хост в VLAN, для этого надо иметь мониторинг нагрузки на каждом хосте. При большом количестве хостов это параметр может генерить большой трафик в систему мониторинга и может ее перегрузить. Один из вариантов быстрого решения проблемы — отключение всего VLAN от интернета, тем самым дав возможность работы всем остальным сервисам. И потом уже можно спокойно анализировать логи и искать источник аномального трафика.
В качестве превентивных мер для потенциально дырявых сервисов можно применять следующие фичи:
1) Ограничивать на хосте скорость интернет-интерфейса 100 Мбит/с или меньше. При этом внутренний остается высокоскоростным для связи с СУБД или другими приложениями.
2) Все web-сервисы подключить через DDoS-защиту типа cloudflare или аналог.
3) Применить ssh-шлюз, чтобы хосты не смотрели в интернет напрямую.
👉 Эти несложные меры (помимо постоянных обновлений софта) позволят минимизировать последствия DDoS-атак для сложной ИТ-структуры.
‼️ Важное наблюдение: если хост уже был заражен, то отключение web-проброса на него уже не факт что поможет, он может выступать в роли "зомби" или прокси для паразитного трафика. Отключать надо всю сетевую активность на хосте для гарантии.
В случае наличия большой ИТ-структуры с большим количеством независимых сервисов при DDoS-атаке может возникнуть проблема выявления конкретного сервиса который подвергся DDoS.
Особенно это актуально, если в компании массово используются локальные сервисы типа Gitlab, Confluence и т.п. Все они содержать большое количество уязвимостей и часто становятся объектами атаки, превращаясь в "зомби" или проксируя DDoS-трафик.
Как проявляется DDoS-атака в ИТ-инфраструктуре?
В какой-то неприятный момент времени, удаленный доступ ко всем сервисам становится крайне нестабильным, постоянно все отваливается, реконнектится, при этом внутри сети все работает нормально.
‼️ Для того чтобы быстро выявлять объект атаки нужно настроить качественный мониторинг основных сетевых узлов.
Порядок определения объекта атаки:
1) Обязательно должен быть мониторинг трафика входящего/исходящего, количества пакетов в сек. (PPS), количества одновременных сессий и загрузки процессора основного роутера. Это позволит установить тип DDoS-атаки.
2) В случае применения VLAN, зачастую их настраивают на свитчах 3-го уровня, значит нужно иметь мониторинг трафика и PPS на каждом VLAN. На этом этапе вычисляется проблемный VLAN.
3) Далее остается вычислить проблемный хост в VLAN, для этого надо иметь мониторинг нагрузки на каждом хосте. При большом количестве хостов это параметр может генерить большой трафик в систему мониторинга и может ее перегрузить. Один из вариантов быстрого решения проблемы — отключение всего VLAN от интернета, тем самым дав возможность работы всем остальным сервисам. И потом уже можно спокойно анализировать логи и искать источник аномального трафика.
В качестве превентивных мер для потенциально дырявых сервисов можно применять следующие фичи:
1) Ограничивать на хосте скорость интернет-интерфейса 100 Мбит/с или меньше. При этом внутренний остается высокоскоростным для связи с СУБД или другими приложениями.
2) Все web-сервисы подключить через DDoS-защиту типа cloudflare или аналог.
3) Применить ssh-шлюз, чтобы хосты не смотрели в интернет напрямую.
👉 Эти несложные меры (помимо постоянных обновлений софта) позволят минимизировать последствия DDoS-атак для сложной ИТ-структуры.
‼️ Важное наблюдение: если хост уже был заражен, то отключение web-проброса на него уже не факт что поможет, он может выступать в роли "зомби" или прокси для паразитного трафика. Отключать надо всю сетевую активность на хосте для гарантии.
👍14👏2❤1🤔1