Archívum - Feb 23, 2016
Hogyan érdemes Linux felhasználókat létrehozni egy szerveren?
Nem nagyon foglalkoztam üzemeltetéssel eddig (ezután is csak saját célra fogok, nem kell megijedni). Dereng valami, hogy érdemes külön felhasználót létrehozni az alkalmazásoknak, amik a szerveren fognak futni. Pl adatbázisok általában létrehozzák a saját felhasználóikat (postgres, neo4j, stb.). Így ha megtörik a szervert, akkor postgres felhasználóval tudnak csak shell command-eket kiadi, nem root-al, ami gondolom előnyösebb. Gondolom webszervereknél, samba szervernél, ssh-nál, stb. ugyanilyen veszély fennáll. Úgy sejtem, hogy ez egy hatalmas témakör, és talán még a best practice-ek felsorolása sem fér bele ebbe a fórumba, szóval örülnék linkeknek.
Illetve a konkrét kérdés most nekem az lenne, hogy nodejs-t pm2-vel hogyan tudnám fellőni úgy, hogy ne root jogokkal fusson? Láttam már olyat, hogy magába a js kódban kellett azt hiszem a process-nél megadni az uid-t és gid-t. Ez nekem nem jön be, szívesebben kötném parancssorból indításnál felhasznáóhoz és csoporthoz az alkalmazás, ha ez lehetséges.
■ Illetve a konkrét kérdés most nekem az lenne, hogy nodejs-t pm2-vel hogyan tudnám fellőni úgy, hogy ne root jogokkal fusson? Láttam már olyat, hogy magába a js kódban kellett azt hiszem a process-nél megadni az uid-t és gid-t. Ez nekem nem jön be, szívesebben kötném parancssorból indításnál felhasznáóhoz és csoporthoz az alkalmazás, ha ez lehetséges.
VPN kérdések - helyi webszerver megosztása a neten privát használatra
Nagyon nem vagyok otthon a témában, sajnos még az alapokat sem értem. Mire jó a VPN? Úgy sejtem, hogy arról van szó, hogy vannak VPN szolgáltatók, amik kb úgy működnek, mint a proxy-k, azzal a különbséggel, hogy az általuk összeszedett tartalmat neked titkosított formában küldik el. Szóval pl HTTP oldalakat lehet nézni úgy, hogy közben ha lehallgatnak, akkor nem tudják, hogy mit nézel, mert a VPN szolgáltató titkosítja neked.
Olvasok olyat is, hogy pl egy irodai szerverrel tudsz otthonról kommunikálni úgy, hogy nem lehallgatható a kommunikáció. Engem ez a része érdekelne, szóval hogy itthon fellőnék egy szervert, amit aztán máshol el tudok érni biztonságosan. Ami nem világos, hogy ezt hogyan kell, illetve, hogy miben más, mint mondjuk egy HTTPS. Olyasmiket írnak, hogy pl SSH kapcsolaton keresztül lehet helyi, az internetre nem kirakott webszervert elérni. Ez meg azért jól hangzik, mert az SSH-ban jó hosszú kulcsok vannak, egy weboldalon megadott jelszó meg ennél sokkal rövidebb. Esetleg egy jó hosszú cookie-val elérhető csak valami hasonló. Saját tapasztalat még, hogyha kiteszünk netre egy webszervert, akkor egyből ezren kezdik el csesztetni. SSH-ról azt olvasom, hogy nem annyira jellemző, hogy töréssel próbálkoznának, mert annyira esélytelen. Ezekből mi az igazság, tudtok tanácsolni valamilyen megközelítést, amivel érdemes egy helyi webszervert privát használatra kitenni a netre?
■ Olvasok olyat is, hogy pl egy irodai szerverrel tudsz otthonról kommunikálni úgy, hogy nem lehallgatható a kommunikáció. Engem ez a része érdekelne, szóval hogy itthon fellőnék egy szervert, amit aztán máshol el tudok érni biztonságosan. Ami nem világos, hogy ezt hogyan kell, illetve, hogy miben más, mint mondjuk egy HTTPS. Olyasmiket írnak, hogy pl SSH kapcsolaton keresztül lehet helyi, az internetre nem kirakott webszervert elérni. Ez meg azért jól hangzik, mert az SSH-ban jó hosszú kulcsok vannak, egy weboldalon megadott jelszó meg ennél sokkal rövidebb. Esetleg egy jó hosszú cookie-val elérhető csak valami hasonló. Saját tapasztalat még, hogyha kiteszünk netre egy webszervert, akkor egyből ezren kezdik el csesztetni. SSH-ról azt olvasom, hogy nem annyira jellemző, hogy töréssel próbálkoznának, mert annyira esélytelen. Ezekből mi az igazság, tudtok tanácsolni valamilyen megközelítést, amivel érdemes egy helyi webszervert privát használatra kitenni a netre?
