VP
Ага, надо мониторить на отсутствие микрота в инфраструктуре более минуты, и сразу отзывать сертификаты, если что :)
ит депендс. )
Size: a a a
2020 November 23
А
Віталій Смірнов
У каждого свои заморочки и свои нужды. А что касаемо Хабла - нужно подумать. Авось пригодится.
как выйдет собрать, скинь схему сборки :)
ВС
как выйдет собрать, скинь схему сборки :)
Не вопрос.
ВС
Ток сначала с дефолтом разберусь 😁
j
Идея! При уровне сигнала Wi-Fi клиента, превышающем заданный порог, делать сброс до заводских настроек.
YV
К примеру, представим скрипт отправки чего-то на почту. И вот у злоумышленника пароль от почты.
С чего бы? Обычно почтовые серваки внешнюю почту готовы без пароля принять
YV
Идея! При уровне сигнала Wi-Fi клиента, превышающем заданный порог, делать сброс до заводских настроек.
Предлагаю пойти дальше: никогда не менять заводские настройки
C
Идея! При уровне сигнала Wi-Fi клиента, превышающем заданный порог, делать сброс до заводских настроек.
с последнего входа админа в микрот прошло более ***подставить нужный временной интервал*** - постепенное удаление конфига, сначала тунели, потом откл интерфейсов и их включение (в некий интервал времени) потом включение/отключение правила запрещающего доступ в соц сети.
j
Ylativ Vedevdem
С чего бы? Обычно почтовые серваки внешнюю почту готовы без пароля принять
Допустим. Это риск получения поддельного бэкапа/конфига хозяином железки.
C
Ylativ Vedevdem
С чего бы? Обычно почтовые серваки внешнюю почту готовы без пароля принять
уточняйте, почту которая адресована этому почтовому серверу, если оно для зоны которую он не покрывает он попросит логин и пароль
j
Ylativ Vedevdem
Предлагаю пойти дальше: никогда не менять заводские настройки
Сделать админа read-only. Интересно, возможно?
YV
Допустим. Это риск получения поддельного бэкапа/конфига хозяином железки.
так и пароль в скрипте от этого никак не спасает - подделка заголовков возможна в обоих случаях
AK
элементарно. хост доступен только через конкретный шлюз/впн, которого нет на основном :) у меня такой изврат из-за неподдержки опенвпн/удп текущими прошивками - шлюз на такие сети не над микроте, а на дебиане
а почему не казать на основном шлюзе маршрут в ту сеть через второй шлюз спрашивается?
YV
уточняйте, почту которая адресована этому почтовому серверу, если оно для зоны которую он не покрывает он попросит логин и пароль
Если он зону не покрывает, то это уже релей получается - не знаю, все ли они закрыты...
AK
Имхо задача сброса с дефолт - это такой себе рубикон... ах не заплатили? Ну пока друзяки. Как вариант конечно - некая защита от проверки, мол, не знаю, че-та сбросилось все, нету никаких впн
про все хосты с которыми активно общался роутер расскажет провайдер, так что впн никуда не денется... имхо конечно )
PG
про все хосты с которыми активно общался роутер расскажет провайдер, так что впн никуда не денется... имхо конечно )
ну быстро сказка сказывается... пока то се туда да сюда
AK
Или, не дай б-г, отправка бэкапов на фтп, на котором можно с теми же логином/паролем подобные бэкапы смотреть...
разве нельзя на запись права дать а на чтение нет?
j
разве нельзя на запись права дать а на чтение нет?
Это правильный подход, но бывает иначе
AK
а почему не казать на основном шлюзе маршрут в ту сеть через второй шлюз спрашивается?
а потому что при таком подходе почему-то частенько с проблемами работает. забил на разборки, развернул маршрут куда нужно. ( и да, у второго шлюза основной шлюз - первый, а нужная сеть - опенвпн)
AK
а потому что при таком подходе почему-то частенько с проблемами работает. забил на разборки, развернул маршрут куда нужно. ( и да, у второго шлюза основной шлюз - первый, а нужная сеть - опенвпн)
так на первом микрот который только сетку впн указывайте как дст сеть и всё, там оно должно работать штатно.
по крайней мере у меня с такими схемами никогда не возникало проблем ... пользуюсь регулярно
по крайней мере у меня с такими схемами никогда не возникало проблем ... пользуюсь регулярно