1.1, димон (?), 16:01, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
и что бы на локаль не ругалось dnf install glibc-langpack-uk.x86_64 glibc-langpack-ru.x86_64 langpacks-en
| |
|
2.38, Аноним (38), 13:46, 08/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Особенности для Ubuntu 20.04:
- Создание нового пользователя:
# groupadd user
# useradd -m -d /home/user -s /bin/bash -g user -G sudo user
# passwd user
- Настройка файрволла:
# vi /etc/default/ufw
DEFAULT_INPUT_POLICY="DROP"
# ufw allow https
# ufw allow http
# ufw allow from X.X.X.X to any port 22
# ufw allow from X.X.X.0/24 to any port 22
# ufw enable
| |
2.39, Аноним (38), 13:50, 08/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Инструментарий разработчика:
$ sudo apt-get update
$ sudo apt-get install build-essential
| |
2.40, Аноним (38), 14:59, 08/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
- Установка mysql:
sudo apt-get install mysql-server libmysqlclient-dev
sudo mysql_secure_installation
- Установка apache2:
sudo apt-get install apache2
sudo apt-get install certbot python3-certbot-apache
sudo ufw allow 'Apache'
| |
2.45, Аноним (45), 08:44, 19/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
$ sudo ln -s /etc/apache2/mods-available/cgi.load /etc/apache2/mods-enabled/
Скрипты по-умолчанию располагаются в /usr/lib/cgi-bin/
| |
2.47, Аноним (45), 07:00, 20/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Более кошерный метод включения CGI:
$ sudo a2enmod cgi
$ sudo systemctl restart apache2
| |
|
1.2, джюджа (?), 18:54, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а хде авторизация ssh по ключам онли? или из "доверенной" сети и так покатит?
like so:
PasswordAuthentication no
PubkeyAuthentication yes
| |
|
2.5, Аноним (5), 05:26, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> а хде авторизация ssh по ключам онли? или из "доверенной" сети и
> так покатит?
> like so:
> PasswordAuthentication no
> PubkeyAuthentication yes
Вопрос стоит не о сверхбезопасности и латании узких мест, а о быстром развертывании рабочего окружения. На начальном этапе, считаю, что этого вполне достаточно. Вряд ли кто-то из "доверенной" сети прям так уж и позариться на вашу тестовую виртуалку. Сдалась она..
| |
|
3.15, LeNiN (ok), 09:49, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
'PasswordAuthentication no' это не про сверхбезопасность, это необходимый минимум для 2020 года. Т.к. вы пишите статью для начинающих, то и напишите: генерируем ключ командой X, копируем на сервер командой Y, потом выключаем вход по паролю с помощью Z.
| |
|
|
5.28, Аноним (28), 10:26, 22/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
В общем:
на клиентской машине генерируем ключи командой:
$ ssh-keygen
Оболочка спросит путь к файлу нового закрытого ключа, пассфразу и сгенерирует пару.
После этого нужно перенести ключ на VPS командой:
$ ssh-copy-id user@example.ru
Программа запросит пароль пользователя и скопирует открытый ключ в ~/.ssh/authorized_keys
| |
|
6.44, Аноним (44), 13:36, 15/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
>$ ssh-keygen
Если мы говорим про 2020 год, то тогда команда такая:
ssh-keygen -a 100 -t ed25519
| |
|
|
|
|
2.6, Аноним (5), 05:54, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> а хде авторизация ssh по ключам онли?
Хорошо, по вопросу ключей ssh... Вы на работе... Завели виртуалку, сгенерили ключи, захотелось из дома поработать или еще откуда-то.. Как будете закрытый ключ передавать? По почте? Телегой? Голубями? Через ТОР? На флешке понесете (а если в метро потеряете?)... В любом случае есть фактор потери или перехвата ключа.
То ли дело.. Завел неприв. пользователя, поставил ему пароль 123, закрыл рута по ssh, отфильтровал доверенные подсетки и лег спать спокойно.
| |
|
3.8, Аноним (8), 06:46, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> а хде авторизация ssh по ключам онли?
> Хорошо, по вопросу ключей ssh... Вы на работе... Завели виртуалку, сгенерили ключи,
> захотелось из дома поработать или еще откуда-то.. Как будете закрытый ключ
> передавать? По почте? Телегой? Голубями? Через ТОР? На флешке понесете (а
> если в метро потеряете?)... В любом случае есть фактор потери или
> перехвата ключа.
> То ли дело.. Завел неприв. пользователя, поставил ему пароль 123, закрыл рута
> по ssh, отфильтровал доверенные подсетки и лег спать спокойно.
Из дома доверенные сетки ? Хм.
Если что то закрытый ключ таскаем с собой на флешке и да к нему еще пасс-фраза есть если что.
| |
|
4.9, Аноним (9), 07:08, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Сомнительное удовольствие - таскать ключи на флешке. Ну если уж вы считаете, что это более секурный метод, то пожалуйста. Лично мне достаточно фильтра по белому IP или подсети прова (Но это Лично мне, опять же)
| |
|
3.14, LeNiN (ok), 09:36, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если вам из дома нужно (и можно) ходить на рабочую виртуалку, то пропишите на неё также свои домашние публичные SSH ключи.
| |
|
4.17, Аноним (5), 10:36, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Если вам из дома нужно (и можно) ходить на рабочую виртуалку, то
> пропишите на неё также свои домашние публичные SSH ключи.
А если я не хочу этого делать? И мне удобнее по паролю?
| |
|
5.24, Аноним (24), 21:31, 16/09/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И мне удобнее по паролю?
нам тоже удобнее по паролю
PS: по секрету скажу, что чем короче пароль, тем он удобнее и проще запоминается
| |
5.49, XoRe (ok), 23:49, 15/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
То лучше вам не говорить об этом службе ИБ. И техническому руководителю. И на собесах об этом лучше помалкивать :)
Вообще ключи не только безопаснее, но и удобнее.
Команда ssh-agent держит ключи в памяти и использует их при каждом подключении по SSH.
А с ключем -A можно подключиться к одному серверу, а с него подключиться к другому, с него к третьему и т.д. И все это - за счет ключа на вашем компьютере.
Ключ лучше запаролить. Но при использовании ssh-agent пароль можно будет ввести только один раз - при загрузке ключа в память.
| |
|
|
|
2.22, zomg (?), 18:09, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
ключ можно положить в keepass(xc), чтобы дальше передавать. там встроенное замедление перебора паролей.
| |
|
1.3, 79 (?), 20:39, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А где сценарий для ансимбля?
Вы там все команды копипастите как в 2004?
А если что-нибудь не то скопипастите а если опечатаетесь? Ужас ужас
| |
|
2.7, Аноним (8), 06:43, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
+1
Когда увидел что это не сценарий для ансибля, дальше даже читать не стал.
| |
|
|
4.13, Аноним (8), 09:03, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ага читаем, особенно что внизу статьи написано:
---
Вышеизложенный порядок действий не обязательно каждый раз делать вручную.
Можно написать и отладить простой shell-скрипт, который проделает все
операции в автоматическом режиме и первоначальная настройка VPS сервера займёт
незначительное время.
---
:(
| |
|
5.16, Аноним (5), 10:31, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
Грустно то, что не удалось оправдать ваших ожиданий... Который год ждете на статью с готовым плейбуком ансимбля, а тут на тебе.. простой шелл скрипт. Как обухом. аж читать расхотелось.
| |
5.18, Аноним (5), 10:45, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ага читаем, особенно что внизу статьи написано:
> ---
> Вышеизложенный порядок действий не обязательно каждый раз делать вручную.
> Можно написать и отладить простой shell-скрипт, который проделает все
> операции в автоматическом режиме и первоначальная настройка VPS сервера займёт
> незначительное время.
> ---
> :(
Просто вы одного не можете понять, автору доставляет удовольствие набивать комманды ручками. Ну это, типа как пешочком прогуляться до магазина, подышать.. ежу понятно, что на авто быстрее и безопаснее.
| |
|
|
7.21, Аноним (9), 14:24, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> раньше таких называли : админ локалхоста.
А сейчас? Админ одной VPS'ки?
| |
|
6.20, Аноним (8), 13:27, 14/09/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Просто вы одного не можете понять, автору доставляет удовольствие набивать комманды ручками.
> Ну это, типа как пешочком прогуляться до магазина, подышать.. ежу понятно,
> что на авто быстрее и безопаснее.
Кстати давно до ансибля я такую штуку делал чисто на кикстартах.
Разные ks файлы, а что удобно вирталка поднимается и тут же настраивается ... эх давно это был :(
| |
|
7.46, Аноним (46), 05:25, 20/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Сейчас для этого юзают cloud-init который уже пинает либо любой шелл-скрипт, либо ansible какой-нибудь. А что, удобно, можно прямо в момент создания виртуалки вписать, что именно её будет инициализировать. Гипервизор передаст конфиг в виртуалку, а cloud-init его выполнит.
| |
|
|
|
|
3.52, Аноним (52), 22:52, 21/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вам написали универсальный код. Если вам нужно для ансимбля - перепишите сами и запостите сюда. Человек поделился информацией, вы же - просто злословите, отбивая у людей желание вообще что-то писать. Учитывая, что сами вы врядли пишите статьи по ансимбле (да и вообще какие либостатьи), - в итоге вы просто гадите сообществу. Фу, таким быть.
| |
|
2.43, DeadMustdie (??), 13:06, 15/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
> А где сценарий для ансимбля?
<troll mode on>
Не, что не на операторах OpenShift, то не годно.
| |
|
1.29, Vitaliy (??), 23:01, 26/09/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
апач? не - не нужно.
вообще вариант для совсем новичков... прям зеленых со школьной статьи.
| |
|
|
3.32, Анонимы (?), 05:11, 01/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
ну вот вам не школьникам: правила firewall которые, сейчас через iptables -L не отображаются, по этому по привычке дебага connection refused побыстрому правила просмотреть через iptables не получится...
| |
|
|
1.33, TheFotoMag (ok), 18:27, 04/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Певрое что я делаю, меня порты.
SSH на порт 13812
FTP на порт 46129
Все веб-админки тоже по разным портам и их человеко читаемые адресв в KJHulHJGF
| |
|
2.36, Аноним (36), 04:48, 08/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Найти там сервис-дело времени. Есть мнение, что даже port-knoking небезопасен. Все равно надо генерить ключи и прикрывать файрволлом.
| |
|
1.35, vaka (?), 22:27, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
параноики детектед.
виртуалка с рождения вообще public-ip не должна иметь
| |
1.37, Аноним (38), 13:38, 08/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Особенности для Ubuntu 20.04:
- Создание нового пользователя:
# groupadd user
# useradd -m -d /home/user -s /bin/bash -g user -G sudo user
# passwd user
- Настройка файрволла:
# vi /etc/default/ufw
DEFAULT_INPUT_POLICY="DROP"
# ufw allow https
# ufw allow http
# ufw allow from X.X.X.X to any port 22
# ufw allow from X.X.X.0/24 to any port 22
# ufw enable
| |
1.41, Вася (??), 07:11, 12/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
замена root на user - это шило на мыло, нужно делать учётку с уникальным именем!
| |
|
2.42, Аноним (36), 17:11, 12/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это шаблон.. Типа %user%. Подставляй что хочешь по вкусу. Ясно же должно быть..
| |
|
1.48, Compozitron (?), 13:21, 01/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А чому апач? Он же морально устарел по своей архитектуре, кроме пары специфических кейсов, когда всё или почти всё - это результат работы пыха ну и легаси, куда уж без него?
| |
|