Комментарии 20
Большое спасибо за публикацию. Дойдут руки — может быть и я попробую, что такое Linux…

А на счет вариантов исполнения с GUI или без, так всем не угодишь. Описывая свой вариант Вы получили массу комментариев, что дало бесценный опыт, причем без затрат времени на поиск и изучения документации. Тот, кто захочет, сможет прочитать весь материал (вместе с комментариями) и создать СВОЕ облако.
Если несколько человек «попробуют, что такое Linux» прочитав эти статьи — значит я писал не зря)
Apache и Nginx – это пара веб-серверов с открытым исходным кодом, на которых построено порядка 55% серверов во всего мира

Тут как всегда не учитывается процент, когда Nginx стоит перед Apache в качестве прокси
НЛО прилетело и опубликовало эту надпись здесь
Радуют меня такие комментарии в стиле «Это Моё Мнение»)
Проблема только в том, что ты только узнаёшь чьё-то мнение, а почему оно такое — непонятно.

В чём минусы самоподписного сертификата с точки зрения обеспечения шифрования обмена между клиентом и сервером? Почему его лучше не использовать в домашней сети?

Apple — это контора которая много чего решает за пользователя, поэтому у меня нет устройств Apple. И вообще, если устройство меня будет ограничивать подобным образом — в топку его! На андроиде тоже с таким сталкивался. Чего это вообще за мода пошла — если сертификат просрочен или неизвестен — ну выведи предупреждение и дай выбор переходить на ресурс или нет.

Ну а если сервер с выходом в интернет…

Не понял мысль за многоточием. Разверните, если нетрудно.
Мне не очень понятно какая принципиальная разница между самоподписным сертификатом и тем же Let's Encrypt. Только удобство? Нет, если делать сервер и размещать сайты для людей, это да — не стоит людей мучить лишними действиями. Но если для себя — с т.з. безопасности же вроде без разницы должно быть, SSL же всё равно будет?
Смотря для каких целей, вообще некоторые клиенты на телефоны не могут работать с webdav с самоподписанными сертификатами, так же как и некоторые программы. Вообще, не критично, если не надоедает в браузере красная плашка.
Вообще, можно воспользоваться бесплатным dns и завести бесплатное же доменное имя и через бесплатный же letsencrypt получить валидный сертификат.
По факту самоподписанный сертификат защищает примерно ни от чего. Если Ева может запустить сниффер и перехватить ваш трафик, то она либо физически влезла в сеть, либо имеет админа / рута на одном из устройств (без таких прав сетевуху в промискуитет не переведешь). А значит она может стать человеком-посередине (через подделку arp, dns, фейковой ap) и направить ваш трафик через свое устройство. Дальше, если у вас самоподписанный серт, она просто выпускает свой такой же самоподписанный, и вы никак это не заметите. А вот подделать незаметно сертификат от letsencrypt уже сильно сложнее.
Спасибо за ответ, теперь стало понятнее.
Но можно ли обеспечить безопасность без всяких внешних сервисов, своими силами? Какие-то может быть параметры сертификата? Или отсутствие стороннего доверительного центра — это критично?
Сделать корневой сертификат, внести его в хранилица устройств, а потом с помощью его подписать сертификат на сайте. Если с помощью MITM сертификат сайта будет изменен, то это станет видно. И тут Apple в плюсе.
Понятно. Но сейчас вроде любой современный браузер как минимум предупредит о несоответствии сертификата? Но — это только браузеры.
Подскажите пожалуйста хорошую и информативную статью по комплексной настройке защиты своего веб-сервера на Linux. Я собираюсь разместить WEB + SVN и открыть порты в интернет только для себя. Один раз попробовал просто голую linux машину — через пару дней уже взломали (судя по «левой» активности), и даже пару каких-то программ поставили, пришлось убрать из интернета.

Есть отличный способ, пароли в 10-12 случайных символов. Уж очень долго подбирать.
Ломают обычно не ssh а установленные wordpress-ы и тому подобные вещи.

Могу попробовать интереса ради виртуалку с тем, что я описал в этой статье, вытащить в инет на неделю. Но только у меня же пароли везде по 16 символов, плюс шесть неудачных попыток — IP улетает на месяц в бан. Тут… подобрать-то нереально — не будут же обширный ботнет заряжать ради какого-то безымянного сервера)
Пароли лучшее вообще запретить. Авторизация только по ключам.
Три команды (которые на самом деле можно свести в одну) и у нас локально установлен полноценный и современный сервер. Это совсем просто!
Мне кажется, что это уже перебор для описания apache с php5 (активная поддержка которого закончена в прошлом году).
Сдаётся мне что установить php7 вместо php5 — не сильно большая и сложная задача. Правда, всего скорее, придётся дополнительный репозиторий поключать, так как debian довольно консервативная система, хотя для Stretch он уже и может быть доступен — это надо пробовать.

А вообще бы с радостью почитал вашу статью о варианте установки и подробной настройки актуального сервера, так скажем, начального уровня.
Отличная статья, спасибо автору. Немного поправьте неточности: в конфиге для php fake_sendmail.sh а создается /usr/bin/fake_semdmail.sh, в справочном материале по fail2ban (fail2ban-client status ssh) sshd хотя тут может быть разница установленых ssh.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.