Как стать автором
Обновить
3
0
Алексей Смирнов @fessmage

DevOps Engineer

Отправить сообщение

Упустили, Route 53 это dns, а указывать dns записи — совершенно не обязаны на aws хосты.

Восстановление системы надо производить путём развертывания золотого образа, создаваемого из кода (IaC), а данные должны храниться на другом устройстве, со своей схемой бекапов.
Cattle, not pets.


Подход из статьи и трата времени на восстановление убитой системы — это только для домашнего использования.

Лучше так: nginx access logs -> fluentd -> clickhouse

Из мобильных приложений сохраненные страницы доступны в оффлайне сразу после синхронизации списка.


А на десктопе ставится Chrome app из стора, он тоже после синка позволяет потом всё читать без сети.

Одно слово — Pocket. Бесплатно, удобно, на всех платформах.

Нераскрыт вопрос сохранения сессии при переключении по разным соединениям. Как реагируют на такое ресурсы с авторизацией, с мультимедиа, SPA сайты, интернет банки?


Если dest адрес привязывается к конкретному соединению — то должно быть всё хорошо, но без ускорения. А без привязки — быстро и с багами на сайтах.

Тот случай, когда комментарий полезнее статьи. Собирайте правильные метрики и тогда не будет проблем с их интерпретацией.

Насчет отсутствия авторизации и TLS — это общее место для всех prometheus exporter и это осознанная позиция их разработчиков. Они считают что экспортер должен заниматься только непосредственное собственной задачей, обеспечение защищенности канала предоставляется на усмотрение пользователя. И нельзя сказать что они не правы — ведь в ином случае код каждого из сотен экспортеров должен был включать работу с авторизацией и TLS.
По-умолчанию считается, что на хосте который мы мониторим должна быть private network и экспортер должен слушать интерфейс внутренней сети — в этом случае необходимость доп. защиты отсутствует.
Если же возможности такой нет, а у нас доступен только публичный адрес, то можно сделать две вещи:


  • поставить экспортер на локальный интерфейсе, а на публичный адрес поставить nginx, который будет по определенному location проксировать запрос на экспортер, плюс обеспечивать tls и авторизацию
  • поставить экспортер на локальный интерфейс, а на публичный адрес поставить telegraf (который умеет и в авторизацию и в tls, а также может собой заменить и некоторые экспортеры), а уже telegraf заставить собирать данные с prometheus экспортеров хоста и отдавать их же в prometheus формате.
    На текущий момент я использую последний вариант — на инстанс ставится telegraf, все prometheus экспортеры подключаются к нему локально, а prometheus сервер стучится только на один target хоста — в telegraf.

Спасибо, всё что хотел сказать вы написали за меня и более развернуто. Нельзя всё мерить этим Cost of Living Index.
Т.к. даже если ты можешь себе позволить купить в 5 раз больше еды и в 5 раз чаще ходить в парикмахерскую — то ты не будешь этого делать всё равно. Ты просто поднимешь уровень жизни — станешь потреблять более дорогие и здоровые продукты но в том же количестве, ходить стричься не в парикмахерскую у дома а в модный барбершоп с сигарами и коньяком.
И выходит что может где-то жить и можно дешевле, но сам уровень жизни будет ниже.

Что можно сделать с телефоном кроме использования встроенного шифрования?

Вам смешно, а крупные компании тратят сотни тысяч долларов на обеспечение безопасности своих ключевых фигур:



И это не только физическая, но и информационная безопасность.


Аналогично и владелец ООО "Рога и Копыта" занимается защитой своих активов от ООО "Копыта и Рога", на своем уровне необходимости и возможностей.

Еще во всех подобных обсуждениях стараюсь напоминать: смс — это плохой вариант второго фактора для любых систем. Старайтесь использовать MFA либо на TOTP, либо с пушем в приложение, либо никакую. Более защищен аккаунт с просто сложным паролем, чем аккаунт со сложным паролем и восстановлением по смс.
Смс перехватят либо выпустив клон вашей сим карты в любой точке сотового оператора в магазине (за не очень большие деньги), либо перехватив через разверную собственную базовую станцию (что дороже).

Поможет, если твой враг — фирма-конкурент или обиженный человек с деньгами. Тем более сейчас в открытом доступе есть многие устройства и ПО, которые 10 лет назад были доступны только гос. агенствам.

Да разумеется, как минимум разные браузеры, или чуть лучше — разные виртуалки, или еще лучше разные устройства. Канал связи — впн по-умолчанию, для разных личностей — разные серверы/страны.


И речь не столько про меня, я как раз всеми мерами предосторожностей мне известными не пользуюсь постоянно — нет потребности.
Но я о них в курсе, имею опыт использования и могу консультировать тех у кого потребность есть.
На базовом уровне минимально достаточно шифрования устройств и впн. Остальное по мере потребностей, в безопасности можно применить тот же KISS.

На мой взгляд это обычные меры предосторожности, подобные тому как не говорить посторонним свой адрес или не диктовать пин код вслух. Всё это входит в моё понятие цифровой гигиены.
И конечно для разных цифровых личностей будет разная степень применения. Главное не смешивать их и не оставлять пересечений.

дополнения от меня:


  • несколько почтовых ящиков для разных целей (по принципу как с банковскими картами)
  • разделение цифровых личностей (разные устройства, разная почта, разные аккаунты)
  • BitLocker не является надежной системой, лучше использовать например VeraCrypt
  • встроенное шифрование накопителей не является надежным (часто там просто XOR с захардкоженным значением), лучше тот же VeraCrypt
  • использовать платный VPN сервис для подключений со всех устройств
  • в требующих особой анонимности случаях — заходить на ресурсы через Tor из виртуалки запускающей LiveCD (Tails, Whonix), виртуалку в сеть пускать через VPN страны, отлючающейся от обычно используемой

И самое главное — следить за собой, т.к. никакие технические меры не помогут если вы сами выкладываете фото с геопозицией в exif данных или шарите свое местоположение в foursquare.

Это просто вуайеризм какой-то, никакой реальной потребности смотреть содержимое трафика быть не должно.
Защищайте сами конечные устройства, обучайте сотрудников цифровой гигиене.

Интересное интервью, обычно такое на vc хожу читать, хорошо что на хабре тоже стали появляться.

Непонятен момент с необходимостью хоститься в РФ — по описанию у вас там только абстрактные метрики воздуха, о каких тут ПСД идет речь?

Есть у меня сайт на сопровождении, где трафик ботов и парсеров если их апетиты не регулировать — больше чем все пользователи. И что, с этим решением они предлагают убрать лимиты для ботов и оплачивать услуги амазона по повышенному прайсу в угоду этой нелепой благотворительности, ради паразитов?

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность