> Ага, арендуй свой сервер, ништяк идея.
> Почему нет? Три доллара жалко?
Есть проблема. Своим арендованным сервером надо плотно заниматься в плане информационной безопасности, иначе сервер сломают, начнут через него заниматься противоправной деятельностью, а потом к его владельцу придут люди в погонах и привлекут этого владельца к ответственности. Ну и от админов хостинга защититься вообще никак невозможно, они его сами могут сломать, и владелец с этим нмчего сделать не сможет.
Не перестану.
> Даром никому не сдался твой сервачок за 3$, через который ты на флибусту, рутрекер и вотт ходишь, чтобы его ломать.
«Она бабка — десять копеек, а десяток бабок — рупь!» Один сервачок, действительно, никому не сдался, а вот в составе ботнета — очень даже. И если в сервачке будет дырочка, его немедленно обнаружат и начнут использовать. Поиск таких ротозейных сервачков с дырочками выполняется совершенно автоматически, см. «червь Морриса».
> Настроил и забыл.
Один выходную ноду поставил и забыл, а потом срок получил, когда через неё другой человек принялся разжигать всякое.
> Ну может можно периодически заходить, пакеты апдейтить.
Периодически — это каждый день. А ещё логи вычитывать, алерты от IDS смотреть, проектировать и внедрять меры защиты и так далее, и тому подобное. В общем, заниматься ИБ.
> Периодически — это каждый день. А ещё логи вычитывать, алерты от IDS смотреть, проектировать и внедрять меры защиты и так далее, и тому подобное. В общем, заниматься ИБ.
У тебя профдеформация. :)
Я даже на публичных серверах, с посещаемостью 1 000 уников в день и более, не часто вижу чтобы таким занимались.
> Один выходную ноду поставил и забыл, а потом срок получил, когда через неё другой человек принялся разжигать всякое.
Публичная нода – это другое всё-таки. Кроме того, этот случай единичный.
У меня знакомый с незакрытым вай-фаем жил несколько лет, всё норм.
Когда я его уговорил WPA поставить, сказал что скорость интернета сильно выросла и только. :)
Удивительно, как с таким подходом вообще ты подключаешься к интернету. "Нас всех превратят в ботнет!"
Умеренное соблюдение мер гигиены позволяет вполне обезопасить свой уютненький серверок.
Как пишут кое-где, "Три золотых правила для обеспечения компьютерной безопасности: не владейте компьютером, не включайте его и не используйте его."
> Да-да, из миллионов виртуалок на амазоне выберут именно твою.
Ты просто будешь одним из.
> Ну и да, а как ты обеспечиваешь ИБ своего домашнего копьютера? Или роутера?
Снаружи доступ только с конкретного ip по логин-паролю для ограниченной записи, ПК дома с легальной постоянно обновляемой ос, антивирус легальный и обновляемый. Только легальный софт. Ну и не хожу по разным помойкам.
> > В общем, заниматься ИБ.
>
> Пусть нас РКН и этому учит тоже!
Но всё это требует времени и сил. Вот, например, товарищ pyth2000 согласен заниматься личной информационной безопасностью исключительно за деньги. За чьи — он не уточнил. Ну или это я его неправильно понял.
> > Периодически — это каждый день. А ещё логи вычитывать, алерты от IDS смотреть, проектировать и внедрять меры защиты и так далее, и тому подобное. В общем, заниматься ИБ.
> У тебя профдеформация. :)
Йа-йа, натюрлихь!!!
> Я даже на публичных серверах, с посещаемостью 1 000 уников в день и более, не часто вижу чтобы таким занимались.
а) Распиздяйство неискоренимо.
б) Немедленно начинают после первого жареного птеродактиля, клюнувшего зубастым клювом в кошелёк. Это те, которых ты нечасто видишь.
> Роутер -- это точно такой же сервер, только маленький, с проприетарной прошивкой, в которой дырок вероятно больше, чем в стандартной убунте той же самой.
В стандартной юбунте, по сравнению с коробчонкой, сервисов больше, версионность больше, дырок, следовательно, тоже больше.
> > Один выходную ноду поставил и забыл, а потом срок получил, когда через неё другой человек принялся разжигать всякое.
> Публичная нода – это другое всё-таки.
Ну да, ломать не надо.
> Кроме того, этот случай единичный.
К сожалению, для судебной практики достаточно одного единственного случая. Судебная практика работает вот так.
> У меня знакомый с незакрытым вай-фаем жил несколько лет, всё норм.
> Когда я его уговорил WPA поставить, сказал что скорость интернета сильно выросла и только. :)
Пусть своим соседям спасибо скажет, что они его под статью не подвели. Но соседей в многоквартирном доме относительно немного, а вот что касается сервера с дырочкой — тут у тебя в соседях весь интернет.
> Удивительно, как с таким подходом вообще ты подключаешься к интернету. "Нас всех превратят в ботнет!"
Так я применяю best practices. Сегментирую сеть, внедряю МСЭ, организую ДМЗ, ежедневно вычитываю логи, своевременно устанавливаю патчи, обновляю ПО, вот это всё. Не все согласны страдать такой хернёй на ровном месте.
> Умеренное соблюдение мер гигиены позволяет вполне обезопасить свой уютненький серверок.
Нет, на личный серверок на хостинге админы всегда могут подселить какую-нибудь херню. У них есть то, что называется «физический доступ к оборудованию», против которого никакие меры информационной защиты не помогают. Имею мнение, что раз серверок личный, то владелец вряд ли сможет успешно преследовать такого админа хостинга в судебном порядке, нанимать экспертов, которых признает суд, требовать проведения расследования деятельности этого злонамеренного админа и так далее. Если у владельца есть условные 100 рублей в месяц на самый дешёвый VPS, это вовсе не значит, что он может взять и вынуть из кармана деньги на экспертов, которые смогут убедительно доказать суду, что это не он организовал на своём серваке ноду тора или анонимный прокси. И админы, считаю, это хорошо понимают.
> Как пишут кое-где, "Три золотых правила для обеспечения компьютерной безопасности: не владейте компьютером, не включайте его и не используйте его."
[Пожимает плечами] Смотри телевизор, чО, или сны. Сны — это если Останкино не сможет получить долг с Первого канала и таки обанкротится.
> Ну так доступ к твоему серверу тоже с конкретного IP по конкретному логину и паролю настраивается в 3 строки.
А что, физ. доступ к жёсткому диску VPS тоже можно так ограничить? А запретить админу внаглую запустить твою машину с его собственным диском с анонимной проксей?
> Достаточно маленького джаваскрипта, внедренного в страничку того же vott, чтобы каждый посетитель майнил крипту. Или ДДОСил сайт РКН.
Казалось бы, зачем у меня стоит NoScript? И почему же это в его настройках отключен запуск скриптов с openstat.net и google-analytics.com?
> Мне не совсем понятна неконсистентность позиции: ставить на телефон приложения (самые проверенные) из маркета, сидеть в интернете напрямую с компьютера с кучей софта, или с китайской волшебной коробочки -- это нормально, это ничего, я защищен.
Телефон у меня в кармане. Мой роутер у меня дома. Мне остаются применять к ним только меры информацмонной защиты. А вот мой VPS — в кармане у хер знает кого, и одними мерами информационной защиты с этим ничего поделать невозможно.
> VPS, как следует из названия, виртуальный. Там нет железки-жесткого диска.
Зато там есть файл, который изображает собой жёсткий диск твоей виртуальной машины, я знаю. Но админу хостинга он вполне доступен.
> Там никакого физического доступа нет -- сервер доступен только из сети.
facepalm.jpg
Ты когда-нибудь работал с системами виртуализации? У админов этих систем всегда есть доступ к файлам виртуальных жёстких дисков виртуальных же машин и к настройкам этих самых виртуальных машин.
> Далее, если у него есть физический доступ. Он может заменить жесткий диск на свой. Но это уже не будет твой сервер -- это другая машина.
Но по документам-то это будет всё равно будет мой сервер! И вот этот факт замены виртуального жёсткого диска придётся потом доказывать в суде с привлечением экспертов. Особенно трудно это будет делать, сидя, например, в СИЗО.
> > Казалось бы, зачем у меня стоит NoScript?
> домен vott.ru у тебя помечен как trusted, иначе ты не смог бы ответить на комментарий. Если вредоносный джаваскрипт внедрить в код страницы, то он будет принадлежать домену vott.ru и успешно выполняться.
А ты попробуй, внедри, особенно с учётом того, что вотт доступен только по HTTPS. Вредоносные скрипты обычно приезжают вместе с рекламой с доменов рекламодателей. У меня же после запрета скриптов с сайтов openstat.net и google-analytics.com реклама на вотте почему-то пропала безо всяких блокировщиков оной.
> > У админов этих систем всегда есть доступ к файлам виртуальных жёстких дисков виртуальных же машин и к настройкам этих самых виртуальных машин.
>
> И что он сделает с шифрованным файлом?
>[censored] раздел "шифрование", если что
Я же написал — временно заменит своим, а потом доказывай, что ты не верблюд.
> такая подмена сразу будет тобой замечена, потому что твой любимый сервер перестанет работать.
Я не ежеминутно свой личный VPS буду использовать. Будут промежутки, в которые можно вклиниться.
> Но, собственно, если пошла такая пьянка -- что мешает админам у провайдера пропускать трафик со своего анонимного прокси-сервера под видом твоего? Банально подменять IP источника в пакетиках на твой.
Воот! Ты, наконец, осознал масштабы бедствия всерьёз и узрел корень проблемы. Заключая договор с хостингом на аренду VPS, ты подписываешься за то, что какой-то IP-адрес в интернете принадлежит тебе. Но при этом у тебя, скорее всего, просто не будет возможности доказать в суде, что ты не верблюд, если что-то пойдёт не так, даже если ты и применишь для защиты этого своего несчастного VPSа все доступные тебе меры ИБ, потому что ты не имеешь возможности физически контролировать ни свой VPS, ни сетевую инфраструктуру хостинг-провайдера.
Сейчас, сейчас
Ага, арендуй свой сервер, ништяк идея.
[censored]