☭k
хотя блин чуток понервничал. вроде ровно такой же запрос делаю. оказалось нужно кое где насыпать \r\n
Да просто закройте сервер и делов то....
Вас нельзя взломать, если ваш сервер в закрытой сети
Size: a a a
2020 October 15
DT
Alexandr Gordeev
Совет сам по себе хорош, но в данный момент я не могу его реализовать. Слишком много настроек надо будет для этого делать на десятке устройств.
AG
Danil Tkachenko
Совет сам по себе хорош, но в данный момент я не могу его реализовать. Слишком много настроек надо будет для этого делать на десятке устройств.
Хреново вам, устройства в разных сетях ?
можно попробовать закрыть заббикс для всех кроме определенных подсетей, тем самым уменьшите кол-во потенциальных точек атаки
можно попробовать закрыть заббикс для всех кроме определенных подсетей, тем самым уменьшите кол-во потенциальных точек атаки
DT
В разных, да. Я уже описывал 500-ми сообщениями выше - малинки, подключенные к интернету через LTE/сторонние сети.
AG
Danil Tkachenko
В разных, да. Я уже описывал 500-ми сообщениями выше - малинки, подключенные к интернету через LTE/сторонние сети.
а я не помню всех сообщений, может и было дело.
Но в целом если уже все развернуто, то можно сделать хоть что то, что бы уменьшить шанс получить атаку, а там глядишь медленно но верно, на малинки можно воткнуть VPN, перетащить их в закрытую сеть и отключить доступ к заббиксу из мира почти для всех или для всех
Но в целом если уже все развернуто, то можно сделать хоть что то, что бы уменьшить шанс получить атаку, а там глядишь медленно но верно, на малинки можно воткнуть VPN, перетащить их в закрытую сеть и отключить доступ к заббиксу из мира почти для всех или для всех
DT
Понятно, что думать надо в сторону VPN, но сейчас пока не могу. Хоть что-то сделал - настроил PSK, авторегистрацию по спец-алгоритму, пароли поменял. Что еще надо сделать из разряда "хоть что-то"?
AG
Danil Tkachenko
Понятно, что думать надо в сторону VPN, но сейчас пока не могу. Хоть что-то сделал - настроил PSK, авторегистрацию по спец-алгоритму, пароли поменял. Что еще надо сделать из разряда "хоть что-то"?
не знаю, вы инженер, вы знаете "свою схему", вам и думать где еще можно закрыть чего.
Если у вас какие то конкретные вопросы, пишите, к примеру "у меня открыт порт 80 в мир, веб морда заббикса, это норм "?
Если у вас какие то конкретные вопросы, пишите, к примеру "у меня открыт порт 80 в мир, веб морда заббикса, это норм "?
DT
ОК
у меня открыт порт 80 в мир, веб морда заббикса, это норм? :-)
у меня открыт порт 80 в мир, веб морда заббикса, это норм? :-)
AG
У меня кейсов нет, чтоб заббикс смотрел веб мордой в мир, но если бы была таска, то как минимум 443 порт, веб морда только с шифрованием.
Если надо чтоб кто то заходил откуда угодно, то вход на web интерфейс только по сертификатам, а дальше уже по логину и паролю.
Если надо чтоб кто то заходил откуда угодно, то вход на web интерфейс только по сертификатам, а дальше уже по логину и паролю.
AG
всех кто лезет на веб интерфейс, чтоб реджектил какой нибудь прокси или сам заббикс, если нет сертификата (но опять же, это фантазия, я бы попробовал так реализовать)
DT
Ага, а то, что 10051/10050 открыт в мир это норм?
AG
Danil Tkachenko
Ага, а то, что 10051/10050 открыт в мир это норм?
нет 😆
хз что вам посоветовать, но опять же, надо думать что можно сделать через эти порты, и кто туда может лезть, может порт кнокинг реализовать и file2ban
хз что вам посоветовать, но опять же, надо думать что можно сделать через эти порты, и кто туда может лезть, может порт кнокинг реализовать и file2ban
☭k
кстати, вот у меня есть препроцессинг возвращаемого значения (regex). в норме там строка. если препроцессинг завершится с ошибкой (искомой строки нет), будет "" или что? на что триггер заряжать?
AK
кстати, вот у меня есть препроцессинг возвращаемого значения (regex). в норме там строка. если препроцессинг завершится с ошибкой (искомой строки нет), будет "" или что? на что триггер заряжать?
Там есть обработка ошибок
Галочка Custom on fail.
Галочка Custom on fail.
VR
Danil Tkachenko
Ага, а то, что 10051/10050 открыт в мир это норм?
Нет, не норм. Адреса тех, кто должен иметь доступ, постоянные?
DT
Нет, динамические
VR
Хотя исопльзование PSK - это вполне себе хоть что-то для защиты. Так взломать сложнее
AG
Danil Tkachenko
Нет, динамические
Попробуйте порт кнокинг, мне кажется это пройдет, но не знаю сможете вы это сделать или нет
VR
а вебморду посади на 443 порт
DT
теоретически - могу, да, вопрос как агента еще на это настроить