Состоялся релиз почтового сервера Exim 4.97, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с ноябрьским автоматизированным опросом около 700 тысяч почтовых серверов, доля Exim составляет 58.73% (год назад 60.90%), Postfix используется на 34.86% (32.49%) почтовых серверов, Sendmail - 3.46% (3.51%), MailEnable - 1.84% (1.91%), MDaemon - 0.40% (0.42%), Microsoft Exchange - 0.19% (0.20%)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60048
> позволяют без аутентификации удалённо выполнить свой код на сервере с правами процессаи это стоит на 58.73% почтовых серверов /_-
Воистину человечеству плевать на безопасность и приватность
Его можно запустить от непривелегированного пользователя, и пусть его ломают.
Заодно систему не обновлять, что бы ничего не отвалилось. Пусть сломают.)))
И пофиг что пострадает вся почта, для чего этот сервак(или контейнер) предназначался! Главное - от непривилегированного пользователя!
Аникеи - такие аникеи.
Типичный debian админ.
как будто у бубунты какие-то другие админы?!
На 58.73% просканированных серверов, а не почтовых
А огромная распространенность Exim объясняется тем, что он является дефолтным почтовиком который ставится в Debian/Ubuntu и при этом вешается на все интерфейсы, даже если ставился для локальных нужд
То есть эта статистика ни о чем не говорит кроме того, что там нашли Debian/Ubuntu с дефолтным почтовиком, сервер-то может и не принимает ничего
Коли ты уж начал про дефолты, то надо бы добавить, что в Debian/Ubuntu по умолчанию устанавливается firewall с закрытым 25 портом.>огромная распространенность Exim объясняется тем, что он является дефолтным почтовиком
Это ты ляпнул чушь.
Чо?!> Это ты ляпнул чушь.
воистину.
Там вообще нет никакого файрвола, "по умолчанию".
В дефолте Debian/Ubuntu ничего никакие порты не закрывает
Так что прав я, а ты несешь дичь
вы с ним наверное разные убунты ставите. В смысле - ты сервер с not-so-live образа а то и дебутстрапом, а он какой-нибудь дрисктоп или как оно там. К нему, возможно, и ufw с готовыми настройками приезжает, в виде модуля для гомощели или еще кого.Только там нет никакого экзима, нахрен он на дрисктопе сдался кому.
Не, в десктопе тоже ничего не блочится в дефолте
В десктопе ufw стоит, но выключен
Так что он вообще про какие-то свои фантазии, а я про суровую реальность
я ж говорю - наверняка какой-то гуевый чудо-конфигуратор - какая-нибудь очередная встроенная панель (о которой мы, серые, без понятия) притаскивает за собой набор правил. Так что главное угадать, что ж это он такое интересное выбрал для установки.А ufw действительно есть из коробки даже в минимальном сетапе. Девственно чистый. Зачем - наукой не установлено.
> я ж говорю - наверняка какой-то гуевый чудо-конфигуратор - какая-нибудь очередная встроенная
> панель (о которой мы, серые, без понятия) притаскивает за собой набор
> правил. Так что главное угадать, что ж это он такое интересное
> выбрал для установки.Вот что он может ставит какую-нибудь горе-панель после которой проще сервер взорвать, чем на работу настроить это может быть, да
Что-то я не подумал об этом, давно таких клоунов не встречал> А ufw действительно есть из коробки даже в минимальном сетапе. Девственно чистый.
> Зачем - наукой не установлено.Да почему не установлено
Для тех кто не хочет читать про iptables/nftables, что бы могли сказатьufw allow ssh
ufw enableПока человек не заглянет в логи и не увидит сколько бесполезной фигни оно в дефолте своем в них гадит будет жить счастливо, а заглянув поседеет :-D
А учитывая, что оно гадит прямо в кернеловый лог и вытесняет из dmesg полезную информацию поседеет он точно один раз туда посмотрев
> Для тех кто не хочет читать про iptables/nftables, что бы могли сказатьда я тоже не хочу - второе уже совсем не для людей. И еще теперь выяснять какое из двух и настоящее или через кривой враппер.
Но там и так все ж allow, насквозь.
Если бы оно было такое же как в редхатоидах - по умолчанию ничего кроме ssh наоборот нету - было бы понятно. А тут наоборот - аппарат есть, хотя я его и не заказывал, а самогона-то и нет.
(а, самое смешное - ssh тоже нет пока специально не попросишь. Чего ни хватишься, ничего у них нет.)
В кои-то веки ты ведешь себя адекватно и с тобой можно поговоритьЗнаешь, я работаю с *nix-like с 1997 года, конкретно с Linux-based с 2000 и считаю, что подход Debian/Ubuntu у которых нет ничего в правилах по дефолту лучше
Ну просто потому, что я сам после установки(не важно сам в смысле вот на этом сервере руками или мои средства автоматизации раскатывая из шаблона правила) решу нужен ли мне включенный файрволл, если нужен то с какими правилами
А идея, что мы в дефолте включаем и решаем где-то среди мэйнтейнеров, что сегодня у нас разрешен 22/tcp, а завтра скажем будет разрешен 1070/udp она в корне убогаяНо вот выбранный инструмент(в смысле ufw) убог сам по себе
Я помню в нулевых мы использовали firehol для более простого построения сложных правил на серверах, он был адекватней. Почему при разработке ufw не взяли его за основу или еще какой shorewall я понять не могу
Чего вы раскудахтались, как клуши!
В реале не зафиксировано ни одного случая экспуатации этих уязвимостей. Да и не факт, что они вообще эксплуатируемы. Исправление уже выпущено. Дык, что не так с безопасностью exim?(С) "Безопасность - это не состояние, а процесс"
Кудахчут как правило те, кто не имел возможности плотно работать с продуктом, что бы сделать заключение и компетентный вывод в сравнении с другими. Если у таких спросить - А кто говорит? Ответ будет - Да все! Таким всегда и везде мерещится "гадость" и как ни странно, альтернативы они не найдут ни в чем и нигде....
На 58% просканированных хостов, а не почтовых сервисов :))Просканировали 100 хостов, 98 из них это локалхосты васянов на DigitalOcean с дефолтами, о которых васяны-хозяева даже не в курсе, а 2 других хоста это smtp.googlemail.com и mx.yahoo.com, на которых никакого екзима не было, нет, и никогда не будет.
Копу такая статистика нужна - непонятно...
> Просканировали 100 хостов, 98 из них это локалхосты васянов на DigitalOcean с дефолтами, о
> которых васяны-хозяева даже не в курсено ты же мог бы быть и в курсе? Но нет, девляпсов этому не обучают.
Дефолты нынче - либо полное отсутствие smtp сервера вообще, либо гвоздем прибитый к localhost.
В операционных системах поприличнее - это конечно не бубунта и не дерьмиан - еще и таки да, фиревол будет по умолчанию закрыт.Так что чтобы просканировалось - нужен неленивый васян которому зачем-то понадобилась почта да еще и на прием (ну во всяком случае - зачесалась, так-то она может и не нужна ему совсем). Ну или застрявший в 96м году, тогда еще было принято ставить mta по умолчанию в любую юникс-систему, и да, он слушал внешний интерфейс. Но его скорее всего еще червь мориса поломал и все пожрал.
>девляпсов дефолты нынче - либо полное отсутствие smtp сервера вообще, либо гвоздем прибитый к localhost.В наших местеках - это O360 или го*мыло. Остальное как известно - не почта :-\
И только самые старые из той стаи (которые уже тайком в смузи виски добавляют) слышали, что когда то были и другие почтарни, но потом их сЪели динозавры и все умерли :)
>Sendmail - 3.46% (3.51%)Что-то не очень популярен, хотя вроде не плох.
Мало кому хочется полжизни тратить на его настройку.
"мне некогда читать документацию, я девляпс!"
Изучать сендмейловский брейнфак — да, некогда. Есть более интересные и полезные занятия.
да-да, еще стопиццот бессмысленных заклинаний rest api сами-то себя не вызубрят.Прочитать раз в жизни двенадцать страничек op.me (лезть в потроха дальше - это примерно как поправить что-то непосредственно в коде cubectl - теоретически ты бы мог, но нет) и пяток в cf/README - это гораздо сложнее, где уж вам...
А конфиг для поцфикса вы просто скопипастили с серверфолта - и пофиг что mynetworks_style=subnet. (очень кстати интуитивно и понятно, не брейнфак какой - каждый же девляпс догадается проверить, особенно если в конфиге этого нет вообще) И тааак сойдет!
Нет там ничего сложного. И никто не заставляет перелопачивать весь конфиг сендмэйла. Прописал несколько параметров (специально для этого умные люди шаблон на М4 подготовили) - и готово.
повторяю вопрос - какие несколько параметров надо прописать для релея офисной сети, чтобы он проверял существование юзера в ms ad, а не принимал любую бибиберду@domain.ru и не пытался отправить обратно на несуществующий адрес когда выяснится что доставить ее некому ?
Вообще такое через milter можно было организовать еще до того, как postfix научился для проверки RCPT TO в virtual user через LDAP.
можно, но ты не сумеешьвот собственно и ответ о низкой популярности сендмэйла.
Зачем экстраполировать на других свою техническую беспомощность? С LDAP и проверкой наличия ты заголился вопросе технической грамотности по самое немогу.
Без понятия. Если бы передо мной стояла такая задача, я бы копал в сторону Key File Declaration, в котором была бы подвязана база с именами юзеров, подтянутая с контроллера домена.
во п-ц -то...
welcome back to 2007(правда мы еще тогда выяснили что у ms ldap есть лимит на один запрос, и целиком выгрузить из него все записи не так-то и просто)
А документацию опять некогда читать, спринт не ждет?
Ну и собственно очередное подтверждение - сендмэйл остался только на локалхостах. Задача принимать им почту даже и не стоит.
Я ж написал - задача такая не стоит. Надо было бы - нашёл бы время почитать всё, что надо.
Среди вариантов Key File Declaration опцию ldap я видел, но упоминать не стал, потому что хз какие там подводные камни могут вылезти. Есть ещё вариант program - запихнуть в него самбовский net, но за такой вариант я сам руки отбивал бы.
И где я сказал, что список юзеров надо притягивать обязательно через ldap?
Я ж сразу и ответил - раз такая задача не стоит - ты никогда почту в чем-то больше подвала и не настраивал. Это не упрек, а констатация факта. Будешь настраивать - поймешь, почему ну его нафиг на сендмэйле. И настроишь exim, потому что там это просто и без пердолинга.На чем и расходимся (про поцфикс ответили, пусть не совсем правильными но хотя бы близкими к работающим рецептами аж двое, про сендмэйл видимо кроме меня вообще никто не знает. Да, механизм там есть, но как и все что появилось последние 20 лет он уежищен, потому что делали люди страшно далекие от бизнеса, какой-то очередной унылый универ. И ковырять их окаменевший навоз я не стану. Нет денег на ironport? Ну а я где тогда тут буду харчеваться? Вон в мэйлрушечку подите, раз гугль вас забанил.)
Фигню ты сморозил. Ну да фих с тобой, расходимся так расходимся.
> повторяю вопрос - какие несколько параметров надо прописать для релея офисной сети,
> чтобы он проверял существование юзера в ms ad, а не принимал
> любую бибиберду@domain.ruвсе очень просто.
1) на контроллере домена раз в 5 минут экспорт чего надо в простой текстовый файл
2) dos2unix | egrep -v -f кого_не_надо.lst и влить результат на почтовый фронтэнд
любым безопастным методом, хоть через rsync хоть через sftp на спец юзера
с беспарольным ключом в chroot.ldap запросами из exim в AD я занимался в 2003 плюс-минус 2 года,
что-то меня в них очень не устроило, сейчас уже не помню что.
П-ц.Хорошо что тебя и на пушечный выстрел не подпустят к настройкам почты в компании где от нее хоть что-то зависит.
подпускали и не раз. обоснуй за "п-ц" или мир-дверь-мяч.
Да-да. И AWK'ом научиться пользоваться — ничего сложного. И емаксом тоже. Только почему-то вместо AWK все используют Python, вместо Emacs — VS Code, ну и вот в данном случае тоже…
> вместо AWK я и ещё несколько пацанов, которых я знаю, используем PythonПофиксил.
И вообще, отучайся говорить за всех.
Думается, если сделать голосовалку, то любители AWK и прочего говна мамонта сильно удивятся
миллионы мух ...
А почему бы это нормально из коробки не сделать ?
давай ты ответишь мне на тот же вопрос (из двух) которые я уже задавал фанатикам поцфикса: как настроить сендмэйл проверять наличие пользователей в ldap - во время сессии, разумеется.ldap, ну разумеется - ms'овский. Поэтому ни один из прекрасных ietf-draft-чтототам в нем не работает и никому эта высосанная из пальца фигня не нужна - exchange существовал за двадцать лет до, и только профессору кислых щей на нехилом окладе могло померещиться что кто-то будет использовать его изобретения.
Предположим даже что у нас в нем нет shared mailboxes (фанатики тоже не справились, хотя можно - насчет сендмэйла я сомневаюсь что можно без ручного кодинга закорючками), алиасов и сложной маршрутизации и все что нужно - проверить что у нас есть такой физический юзер в принципе, и не маршрутизировать спам на несуществующих.
Про второй вопрос вообще не будем, ничего работающего для авторизации кроме "imap before smtp" вы все равно не предложите.
И?
Ну вот поскольку ты ни одного слова не понял - твой удел локалхосты.
А там обычно искаропке поцфикс, и даже, к счастью, часто с оверрайдом в файле в который ты не догадаешься посмотреть, на тему не слушать ничего кроме localhost.Остальные 3% - это локалхосты на freebsd.
Кому на самом деле нужна почта хотя бы в виде фронтенда перед эксченжом и не наскреб на ironport - матерится и ставит exim. Потому что в сендмэйле хотя часть и можно сделать, но настолько мучительно больно, что лучше не пытаться. А за недоделку м@к@кера могут и выпороть.
А, ну это всё твое влажные фантазии. Впрочем, ничего нового.
Ну то есть ты во второй раз - "Ну вот поскольку ты ни одного слова не понял - твой удел ***"(С) пох
:-D
Но в спор учённых мужей я вступать не буду - я postfix-ник :)
Был. В проде оно было до 2016-2017 где то. Причём даже не во всех 146% - как фронт перед Exchange! Дичь к голубекотом тоже была и работала :)
Но после - ффсё :( Почта - это гмыл или О365, тчк.
> Почта - это гмыл или О365, тчк.Санитары, не несите носилки.
Приезжайте к нам на Колыму(С) :)
Ты сам санитаров на носилках носить будешь, только чтобы это развидеть.
Это я тебе как доктор ...
Благую весть несу я: opensmtpd смог чуть-чуть приблизится к гибкости exim'а. Там доступно описание фильтров через конфиг и прикручивание к фильтрам источников данных различных, в т.ч. запросов в ldap. Ну и разные цепочки маршрутизации почты он тоже умеет строить (ветвление на основе отработки входных фильтров). Это не так гибко, как маршрутизация через добавление меток (например заголовков) в одной цепочке, как это делается в exim, но всяко гибче, чем какой-нибудь postfix.Но... там полтора землекопа разработчиков и три землекопа - пользователи. За сим местами оно кривое. Впрочем, наличие такой альтернативы - лучше, чем никакой.
> Благую весть несу я: opensmtpd смог чуть-чуть приблизится к гибкости exim'а.а по сразу с порога remote root так даже и сумел переплюнуть.
по-моему так себе у тебя план.
На мой взгляд все что связано с openbsd нужно захоранивать в дальнем конце полигона и обязательно ивовый частокол по периметру.
Поделия из openbsd становятся всегда чуточку хуже в своём portable-виде. Когда их ещё обмажут чем-то, чтобы было как-то совместимо с библиотеками в Опёнке.Впрочем, такая же ботва и с openssh.
Но весть я сообщил о том, что если exim загнётся, то есть ещё куда глянуть. Перед тем, как начинать рушить рабочую инфраструктуру, чтобы она стала соответствовать условиям эксплуатации "самого надёжного, ни разу не проблемного, эталонного почтаря - postfix".
FYI
>Благую весть несу я: opensmtpd смог чуть-чуть приблизится к гибкости exim'а.Но зойчемммм?!?!? 8-о
Благая весть была бы если бы они сделали его как пистолет Макарова - когда проще уже нелзя и поэтому оно неубиваемо и надёжно.
Оно нужно _только_ для того чтобы алёрт выслать перед смертью :) Для остального то настоящая почта есть...
Тут выше и ниже некто пох примеры приводил, когда перед "нормальной" почтой нужно нечто более гибкое, чем postfix. Ну так вот.
Не нужно уже. Я писал почему.Хотя если пох в РФ, там да - нужно.
Это выходит я завидовать начинаю?! Ничоси :)
> Хотя если пох в РФ, там да - нужно.там стало резко нужно потому что поставки ironport чавось как-то вот это вот...
и у него там и лицензия норовит слететь, и обновления сигнатур хрен там... в общем все плохо, ставьте exim.
А кто будет плохо ставить - заставят ставить opensmptd!
По чести проверки наличия почтового ящика LDAP от мелкомягких ничем не отличается от других LDAP'ов. И таки проверка на существование ящика лет двадцать как в наличии.Не надо свою безграмотность выдавать за общее положение вещей.
Я спросил - как. А не что там у тебя теоретически в наличии, а на самом деле админ локалхоста до этого этапа еще лет десять не доберется, а когда доберется - будет уже умный и не будет это делать сендмэйлом.Ты не знаешь, так и запишем.
Если ты за 15 лет существования этого метода до сих пор его не увидел, то тебе это не надо, да ты и не поймешь. Собственно, еще в 2009 году через postfix была прикрыта задница конторскому Exchange тухлых версий от большого интернета. И уже тогда для всех интересующихся работа через vmap с LDAP в postfix была общим местом. Таки если ты не поп....здеть а реально интересуешься, что рядовой поиск postfix+ldap дает вагон и тележку как это делается. И да, это работает и при обращении к виндовому AD.
>LDAP от мелкомягких ничем не отличается от других LDAP:)
Хороший онегдод :) Лучше только про Kerberos :-p :-)))
Вы еще расскажите, что в тандерберде нельзя адресную книжку с AD подружить, посмеемся вместе.
А что, прям вот уже можно? Со статусами, автоответом и вот этим вот всем? Нууу... и впрямь, анекдот.
Можно конечно. Но есть нюанс (С) :)
Вот тебе популярный детский вопрос - как еЯ всю, в смысле - целиком! - как еЯ увидеть? :-)
Я надеюсь ОН-цы знают ... но как это какой нить HR-ше обЪяснить и не получить статус "freak" ? :)PS: Непонятно нафиг это в топике про Exim, но то такое :-)
"В лоб" я х.з. т.к. подозреваю что причиной здесь ограничение на "окно" выдачи со стороны AD. В сочетании с неумением клиента с таким работать.
Но можно "по лбу", проложив slapd (или dir389, если очень хочется).
Трудозатратно и требует определённой квалификации. Но можно.Возвращаясь к онтопику. "В этих ваших интернетах" постоянно педалят безграмотную схему "postfix + dovecot". Любви тут не предвидится (если не догадаться сделать дедупликацию рассылок на милтере, то разве что в опу собравшему такое). А вот эксплуатанты exim вообще могут быть не в курсе что здесь какая-то проблема.
>>Sendmail - 3.46% (3.51%)
>Что-то не очень популярен, хотя вроде не плох."Немного" дыряв, потому что. Ну как немного? Намного более, чем Exim.
>Новая версия почтового сервера EximТрадиционно:
>с исправлением очередной сишной дырен
Хватит ныйть уже, надоели хейтить си. Не нравится? Используй почтовый сервер на Rust (если такой есть вообще).
Расскажи, как ты в неё влез и украл переписку Байдена с Сунаком.
Допустим у меня есть один Блейд сервер и для небольшой конторы хочу поднять:
1. Контроллер домена/Active directory - Samba.
2. Телефония - Asterisk.
3. Почтовый сервер, но это под вопросом.
Сначала попросили поставить Win server 2022 ну или 2016. От идеи ставит 2022 на старенький НР сервер отказался сразу. 2016 потребовал драйверы, воспользовавшись моментом установил Debian 12, а уже наинего QEMU.
Случайно отправил не дописав. Продолжаю.
Установить Samba не осилили. Долго гунлил разные руководства, но ни один не помог до конца. В QEMU пришлось поставить Debian 11, т.к. Debian 12 отказался вставать. Изучал различные руководства от Арчевского до Альтовского и т.д.2. К установке Астерикса ещё не приступал.
Коллега предложил вместо Debian поставить ESXI.
На что предложил ему самому написать в VMware письмо с просьбой предоставить бесплатную лицензию. Что он и сделал. После выходных интересно узнать результат, хотя немного предсказуем.
> написать в VMware письмо с просьбой предоставить бесплатную лицензию. Что он и сделал.долго смеялся. вы там тролли непуганные ваще.
я писал кашпировскому и др.вебу просьбу исключить из баз отдаваемых для РФ приблуды ратиборуса.
основание: в РФ офис и винду невозможно активировать официально, ни за какие деньги.
результат никакой. кашпировский рекомендавал вносить в исключения.
> основание: в РФ офис и винду невозможно активировать официальновозможно.
А вот с вмварью рецепет примерно тот же - "добавить в исключения" keygen. Патчи еще доступны правильным пацанам, но лицензии уже совсем всьо.
>> основание: в РФ офис и винду невозможно активировать официально
> возможно.скачанные с нуля, а не наследство прошлых годов ???
предлагаю сначала попробовать руками, а потом сообщить что получилось.
btw, у людей активацию терминальных серверов уже обламывали.
> скачанные с нуля, а не наследство прошлых годов ???э... ну может просто не надо начинать сразу-то с тыренья?
> предлагаю сначала попробовать руками
умеявсеработает. Что с китайским oem ключом который вообще не спрашивает хотел ли я так уж сильно им активироваться, что с kms (да, ключ новый а не прошлых годов. Да, интеграторы их продают.)
А вот с терминальными серверами, кстати, может уже и нет, там по-моему не перманентные лицензии.
> э... ну может просто не надо начинать сразу-то с тыренья?чего ???
скачать iso с MSDN - официальный метод заполучить винду.
скачать офис CTR инсталлятором - официальный метод заполучить офис.
офиса 2019, 2021 (он же 365) в iso с MSDN у меня нет и я не нашел,
либо вообще ни у кого нет кроме узкого круга избранных барыг.>> предлагаю сначала попробовать руками
> умеявсеработает. Что с китайским oem ключомпредлагаю ... уже ничего не предлагаю.
> с kms (да, ключ
> новый а не прошлых годов. Да, интеграторы их продают.)вы уверены что это не один и тот же ключ, перепроданный NN раз ?
> А вот с терминальными серверами, кстати, может уже и нет, там по-моему
> не перманентные лицензии.там хитро все. главное после активации терминального сервера
не давать ему общаться с Интернетом ни напрямую, ни через NAT,
ни через прокси выпускающий всех без авторизации (в общем это
для всех полезно, включая повершельщиков),
а винда может быть и неактивированной.
> скачать iso с MSDN - официальный метод заполучить винду.for development and evaluation purposes only
Для тех кто платит деньги - совершенно не.
> либо вообще ни у кого нет кроме узкого круга избранных барыг.
ну вот поскольку ты не хочешь платить денег - у тебя ничего и не активируется. (но вообще ctr можно активировать тем же путем - с kms, насчет васянских ключей не скажу, поскольку что-то стал я недостаточно богат чтобы покупать офис еще и домой)
> вы уверены что это не один и тот же ключ, перепроданный NN раз ?
да уверен. MS ни разу не стесняется украденые kms ключи блокировать. Поэтому они так редко мелькают в публичных и полупубличных местах, в отличие от активаторов. Потому что пару раз мелькнув, перестают работать в том числе и у того у кого их сперли.
> там хитро все. главное после активации терминального сервера
> не давать ему общаться с Интернетом ни напрямую, ни через NAT,но зачем мне терминальный сервер отключенный от интернетов?
> MS ни разу не стесняется украденые kms ключи блокировать.кто сказал "украденные" ? РФ-барыга получил VL ключ к офису и
продал его 10 раз, что ему за это будет ? ничего, случайно утекло от покупателя.> но зачем мне терминальный сервер отключенный от интернетов?
rdp не совсем дрянь-протокол, он хорошо тунелируется и загоняется в vpn
открыто выставлять в Интернет 3389/tcp очень глупая идея.
на его встроенный ssl (или tls ? даже знать не хочу) надежды никакой нет.
Выставлять в сеть _открыто_ любое управление - это, блин...
> Выставлять в сеть _открыто_ любое управление - это, блин...выше разговор о терминальных серверах => это не "управление".
но есть люди (если считать 1Сников людьми, что сомнительно),
которые ничего не боятся. пример:$ telnet rds01.scloud.ru 3389
ну конечно гнилой openvpn ухитрившийся зацепить абсолютно все баги openssl и еще свой уникальный добавить, или какой-нибудь ентер-прайсный xauth работающий только в венде и венде причем воон тот апдейт обязателен а вот этот нельзя никогда ставить - гораздо лучше и надежнее (нет)Пользуюсь с 2007го года. Проблем никаких не было (в отличие от уг-впнов от которых бывали).
И шифрование и механизм аутентификации у rdp вполне надежны и костылепердолинга не требуют.
(а, ну с линoops как всегда проблемы, но кого они теперь колышут-то...)
RDP от брутфорса - как от мух котлета.
Нет, можно пассвордс полиси настроить, и дальше весело всех юзеров разблокировать пять раз в сутки.
> RDP от брутфорса - как от мух котлета.через пяток попыток привет учетке, придется охолонуть минуток пятнадцать. Это тебе не ssh.
Это если кто-то откуда-то на самом деле знает учетку, что крайне маловероятно, и у тебя нет ids.> и дальше весело всех юзеров разблокировать
у тебя юзеры с учетками masha1? Я не очень верю в то что хакер-г06някер знает мое имя. А по словарю - удолбается подбирать хоть что.
>через пяток попыток привет учетке, придется охолонуть минуток пятнадцать. Это тебе не ssh.А то в ssh так же нельзя?
Вон даже школьнеги про fail2ban в курсе :) Это чтоб без головы а копипастой настраивать.
Есть вещи и получше, но "меня терзают смутные сомнения"(С)ИВМП - подозрительно мне почему ты не в курсе :)
>>через пяток попыток привет учетке, придется охолонуть минуток пятнадцать. Это тебе не ssh.
> А то в ssh так же нельзя?так же - нельзя. Потому что он ничего не умеет.
> Вон даже школьнеги про fail2ban в курсе :) Это чтоб без головы
да, школьнеги любят унылейший костылепердолинг.
А потом ой, три раза ошибся в пароле (как правило не от того хоста просто набрал, или не тот юзер оказался) - срочно одеваюсь и поеду в караганду, а то больше вообще никто не войдет.
А взрослые сидят себе через rdp (и tsgw впридачу, если приспичило) и у них за полтора десятка лет ничего не случилось, никаких выдуманных школьниками под одеялом ужосов.
>>>через пяток попыток привет учетке, придется охолонуть минуток пятнадцать. Это тебе не ssh.
>> А то в ssh так же нельзя?
>так же - нельзя. Потому что он ничего не умеет.(шаркая ножкой) ... ну дык ить ... юникс-вЭй! и всё такое ... не? :)
>А взрослые сидят себе через rdp ...
дальше поскипал от удивления :)
Ну значет я ещё щегол :-) Уххххх, аж отпустило :-р
> (шаркая ножкой) ... ну дык ить ... юникс-вЭй! и всё такое ... не? :)не. Потому что если юниксвей предполагает такое убожество как филявжбан - то это г-но. Не все глупости родом из 70х уместны на исходе 2k23
(я бы еще понял если бы ты вспомнил blacklistd какой-нибудь, который не гадает на сислогах, а напрямую связан с заинтересованными демонами, но это тоже так себе костылик)
Предложил компаниям соучастие по статье 273? Вот уж кто тролль непуганый.
вам срочно нужно обратиться в компанию redlab шитваре. Там вам помогут настроить виртуализацию импортозамещенными средствами.В общем-то и недорого. (а ты походи по базару, поспрашивай)
> Предложил компаниям соучастие по статье 273? Вот уж кто тролль непуганый.по статье 666. за поджог Каспийского моря.
>долго смеялся. вы там тролли непуганные ваще.Ну меня Debian 12 с QEMU устраивает. Только разобраться как с виртуалки пробрасывать потом.
Вообще готов рассмотреть любые советы по выбору виртуалки и т.д.
>исключить из баз отдаваемых для РФ приблуды ратиборуса.Извини, но я не помню, чтобы ЛК именно кряки к не-своему софту в базы вносила как вредоносные. А вот когда к чужому кряку ушлым раздающим был приклеен троян - помню несколько случаев. И как раз кряки от продукции M$ - один из наиболее частых. Так что ЛК тут права. Во-первых, малварь должна быть в базах. Во-вторых, базы должны быть одни для всего мира.
активатор ратиборуса - да, старательно вносят, каждую новую версию. В свое время ужасно зае..достало от них его перепрятывать.> А вот когда к чужому кряку ушлым раздающим был приклеен троян
мифы и легенды опеннета, рулоны на вес.
Все кругом затроянены, ааааа, ужос какой!
я надеялся что кашпировский и др.веб проведут углубленный анализ этого инструмента,
и если обнаружат что-то не то - выпустят скандальный пресс-релиз с подтекстом
"все кто поверил в бескорыстие активатора - лохи и ламеры".
потому что анализом по методу "черного ящика" я не обнаружил ничего подозрительного.> А вот когда к чужому кряку
> ушлым раздающим был приклеен троян - помню несколько случаеви sha-1 тоже подклеили (в магнитах именно он).
до чего дошел криптоанализ на службе зловредов и киберпреступников.> Во-первых, малварь должна быть в базах.
в-нулевых, докажите что это малварь (трассировка, ИДА про, логи фаерволла ...)
Зачем писать, если можно просто зайти и скачать с их сайта?
https://www.vmware.com/go/get-free-esxi
Для инфо: он абсолютно бесплатен пока вы не начнёте лепить из него кластер (т.еб пока вам не понадобятся все интерпрайзные фишечки типа лайв миграции и проч святотени)
> Для инфо: он абсолютно бесплатен пока вы не начнёте лепить из него кластерэто не означает что ему не нужна лицензия.
Она да, бесплатная и вечная, но тебе ее не дадут - ты плохо сверг терана. Вот хамасята в Лондоне с Париж0плем - свергали хорошо, им дадут.По твоей же ссылке вторая кнопочка сверху - "как присвинячить 'free permanent license'" с подробностями куда мышкой клацать. Где ее взять там не написано, но ты узнаешь об этом, зайдя в свою учетку на myvmware... лет через 50, когда полезные экономике санкции может быть отменят (хаха).
Если лицензию не ввести - оно стартует с evaluation license, которая через месяц превращается в тыковку и управление перестает работать.
Отдельно рекомендую (ну лет через писят, когда доступ откроют) условия этой самой лицензии прочитать внимательно. Она тебя удивит, восхитит, в чем-то даже фраппирует, но вслух ты по-моему что-то совсем другое произнесешь.
> От идеи ставит 2022 на старенький НР сервер отказался сразу.зря. у меня 2022 работает на Intel Atom RAM 4GB.
разумеется я ему резал ресурсопотребление как мог.
запускает нативный офис, хранит файлы (не SMB),
больше от него ничего не надо.> Debian 12
если много ядер, средне и хорошо с RAM и без хостинга ВМ вообще никак,
то можно было начать с proxmox.> 2. К установке Астерикса ещё не приступал.
астер с нуля немодно. кому надо ставят FreePBX.
также предлагаю обдумать отказ от IP-телефонии вообще,
у юзеров свои или казенные смартфоны.
>если много ядер, средне и хорошо с RAM и без хостинга ВМ вообще никак,то можно было начать с proxmox.
В пятницу под конец рабочего дня нашел Proxmox Virtual Environment, но не стал качать. Виртуалку на QEMU поднял, мне надо AD поднять.
>астер с нуля немодно. кому надо ставят FreePBX.
Вот это спасибо, подумаю.
>также предлагаю обдумать отказ от IP-телефонии вообще,Да я заметил что многие уходят в Мегафон ВАТС. Не знаю почему хотят селфхост, наверное из-за экономии.
>у юзеров свои или казенные смартфоны.Стационарные цискофоны.
>зря. у меня 2022 работает на Intel Atom RAM 4GB.Ну изначально не было желания ставить винду.
может вам того - админа нанять?Вы ведь по профессии то ли уборщица, то ли девляпс, я правильно понимаю?
Нет никакой проблемы ни самбу настроить, ни винду поставить, любую (на крайняк в виртуалке если уж совсем беда с драйверами, хотя скорее всего беда как обычно с руками) и в ней все это сделать интуитивно-понятным вам образом.
С астером на первый раз лучше нанять отдельного инженера (в телекомах кормят плохо и мало, они легко наймутся на разовую настройку, только проследите за руками потом - а то устроят вам таджик-телеком) - а обслуживать потом можно уже и девляпса обучить кое-как.
>Нет никакой проблемы ни самбу настроить,Лучше бы мануалы скинул как настроить.
>С астером на первый раз лучше нанять отдельного инженераЧё так сложно диалплан писать?
> Лучше бы мануалы скинул как настроить.они идут в комплекте. Раз не получилось - нужны не мануалы а админ. С варящей головой, а не только чтоб в нее есть.
> Чё так сложно диалплан писать?
сложно. Тем более что там не только диалплан надо написать.
Книжка про то как их писать - довольно толстая и, к сожалению, в ней не объясняются типовые ошибки из-за которых получается таджик-телеком. Даже я (сумевший заставить себя пару этих книжек прочитать и имея какой-никакой опыт разведения этих тамагочи) предпочитаю чтобы начальной настройкой и отладкой занимался кто-то у кого это профессия, а не хобби. Очень уж уныло. (и "нам этих денег все равно не заплатят")
cucm как-то вот попроще настраивать (и нельзя одним движением хвоста воткнуть инклудом какой-нибудь беспалева названный "generic" в external context) - но нам его, к сожалению, теперь не продадут.
>cucm как-то вот попроще настраиватьНу хз, я отказался и отдал спецам на откуп. К примеру - на UC тоже нельзя все патчи которые M$ релизит вываливать (держу в курсе) - оно от такого плющится :\
Microsoft Exchange - 0.19% (0.20%)
потому что он выглядит как exim, ну или other (потому что ironport не здоровается с такими вообще)У всех у кого хватило денег на exchange, хватило денег на того кто фронтенд ему настроит (и на сам фронтенд, как правило, тоже)
O365 bro!
Свой же Ыксченж ныне - это геммойрой от слона пришитый к бедной маленкой собачке.
Когда их Premium саппорт на любой вопрос вначале оффициально рекомендует переход на О365, и отвечает по делу (с эскалацией) только после того как ты скадешь что тебе обшение с ними оплачивают фулл-тайм и все закрытые тикеты ты будешь снова открывать ... ну тогда могут помочь, да :)
> Microsoft Exchange - 0.19% (0.20%)Просто никто в здравом уме не выставляет Exchange наружу по SMTP, если перед ним можно поставить хотя бы бесплатный Postfix с конфигом из 10 строк и таким же халявным rspamd-clamav. Про серьезных ребят с аппаратными SMTP-шлюзами не говорю. Ну и баннер сервера поменять на Exim\Postfix-подобный тоже в общем-то не сложно.
- Exim 58.73% (год назад 60.90%), Postfix 34.86% (32.49%)
Ну, не удивительно
удивительно. Где они Configure к нему копипастят? Все что я видел чужого - было придумано какими-то чуждыми разумами. Не могут же эти 58% сами уметь все?
В Дебияне и производных при установке аптом в интерактивном режиме инсталятор просто задаёт вопросы (домен, с какой целью устанавливается и т.д.) и сам генерирует подходящий конфиг.
А, блин, и действительно. Юзеры ж не ищут нелегких путей.Наверное даже и работает (для поцфикса оно что-то странное правда генерит, но просканировать получится)
Номер версии меняется, эксим не меняется.
Ну и хвала Всевышнему. Чай не пихон, каждый день новый.
Exim: количество дыр не меняется.