-1 + / - а тобі не ссикотно?
зазвичай де зовні він так відкрито - ще при вході змушують підписати папірець, що на роботі треба займатися роботою, а не за своїми vds лазити. І врахуй, що pa / checkpoint / cisco вміють відрізняти ssl від лівого протоколу на тих же портах, тим же самим (і не тільки) способом.

втім, набагато частіше - на дорозі стоїть дешифрувальним проксі, і ніякої ssh через нього не пролізе в принципі.

а ось мобіли змушують здавати в камеру зберігання набагато пізніше.

• 4.15 , Crazy Alex (Ok), 14:24, 31/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - Є реальна безпека, а є загралися адміни або, що набагато частіше, банально стадартние полісі, що не підходять під половину реальних ситуацій. І подібними обходами користуються тупо все - і для роботи, і фоточки з котиками дивитися. І всі про це знають - ну просто тому, що це не кримінал, а технічно обійти простіше, ніж з бюрократією возитися. І швидше - на місяці. Відповідно, ніякого DPI там немає в принципі, тому що той, хто все це налаштовував, теж розумів, скажімо так, не універсальність вимог.

Я взагалі ще не бачив жодного випадку, щоб в більш-менш великої конторі можливо було ефективно працювати, не порушуючи букву полісі.

Втім, зазвичай простіше, звичайно, тупо на 443 підняти ssl vpn.

• 5.17 , пох (?), 22:21 31/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Є реальна безпека, а є загралися адміни або, що набагато частіше, банально
> Стадартние полісі

і твоя стандартна підпис під нею. Ну і воно ось тобі - треба?

> І подібними обходами користуються тупо все

потім начальству потрапляє возжена під хвіст, адміну треба на когось звалити проблему з вірусом, котрий поклав пів-мережі, змінюється молодший оператор зонда в відділі ІБ, або ти не так з кимось вітаєшся - і звільняють за статтею, звелівши радіти, що не змусили компенсувати "збитки".

Ну і щодо "все" це явне перебільшення. Тітки в бухгалтерії теж налаштовують себе ssh на лівих vps?

> Я взагалі ще не бачив жодного випадку, щоб в більш-менш великої конторі можливо було
> Ефективно працювати, не порушуючи букву полісі.

я бачив і працюю. інтернет доступний в силу службового становища, флешки - немає. Ну і хер з ними.
Потрібен конфиг vpn будинку - ок, йдемо до начальства, воно допущено до актів володіння переносними носіями. Немає на місці - значить, vpn з дому у мене поки не буде. За це ще нікого не звільнили.

не плутати букви з особистими фанаберії адмінчіков - цим успішно можна прищемити хвіст або ігнорувати наданий ними сервіс. Але якщо підписав папірець, що доступ в інтернет строго для роботи, потрібні для роботи сайти додаються списком - нерозумно наживати собі неприємності, та ще настільки череззаднічнимі методами.

а для дpoчева на опеннете є мобіло. Якщо і його змушують здавати при вході - нафіга ж було там працювати?

• 6.26 , Crazy Alex (Ok), 11:50 04/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - Так ніхто не змушує мобіли здавати. Мова про звичайні великих айтішной конторах, де "глобальна" полісі вічно конфліктує з потребами і зручностями конкретних проектів, і в дрібницях ніхто її НЕ ЕНФОРС, так як неможливо і половина разработчікв звільниться на фіг з такого концтабору (і знайде собі іншу роботу за пару тижнів ). Що там у тіток в бухгалтерії мені взагалі не цікаво, мова про айтішной рішеннях на айтішной ресурсі. А ось де точно не треба працювати, так це там, де можуть спробувати звільнити, тому що "не так з кимось вітаєшся" і т.п. Благо, для програміста є вагон більш привабливих варіантів, де навіть в разі якихось проблем спочатку мінімум пару раз ввічливо поспілкуються, і тільки потім, якщо не домовитеся, розірвуть контракт.

• 6.36 , анонім (36), 00:56, 12/09/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

+1 + / - А ви не думали що є юзкейси крім того що ти раб який пyкнуть боїться щоб з роботи по статті не піти?

• 6.38 , Максим (??), 22:21 20/09/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - Ну і страждай, тремтячи перед "начальством" і підписуючи дозволу на кожен похід в туалет. Такі контори здалеку видно ще на співбесіді (а то і до нього). І я щиро не розумію тих мазохістів, які йдуть туди працювати.

• 1.3 , Василь (??), 12:58 26/07/2018 [ відповісти ] [ +++ ] [ · · · ]

/ - А чи є можливість зробити подібне з вітруальной-хостами (server_name)? Наприклад крутяться в багатьох lxc різні сайти і ми хочемо давати доступ і по https і по ssh через єдиний nginx на хост системі

• 2.7 , толлейбусізбуханкі (?), 18:53, 29/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > А чи є можливість зробити подібне з вітруальной-хостами (server_name)?

немає. та й навіщо?

> Наприклад крутяться в багатьох lxc різні сайти і ми хочемо

для цього є sni, який прекрасно працює без цих непотрібно-фокусів.

> Давати доступ і по https і по ssh через єдиний nginx

а для ssh немає sni, та й не парсит його nginx, просто відкидаючи як «не-ssl" - тому потрапити по ssh ти зможеш тільки на когось одного. Наприклад на саму хост-систему, було б навіщо город-то городити ...

• 2.10 , анонім (10), 21:00, 30/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

-1 + / - Якщо вашому sshd погіршає через те, що йому від нерозпізнаних клієнта прилетить в сокет сміття, то у вас якийсь неправильний sshd.

• 4.14 , толлейбусізбуханкі (?), 12:09, 31/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

+1 + / - > Правильніше було зробити навпаки - сприймати
> Всі звернення за замовчуванням, як HTTP запити.

а вони не можуть. Там суть не в "за замовчуванням" а в "нешмалга я розпізнати".

тобто єдине, що можна зробити, якщо вже поставити собі за мету врятувати доступ Вася до його ssh - це перераховувати абсолютно всі розпізнаються (regex або поштучно), а ssh як і раніше валити в default - його нічим матчу.

якби автори цього дивного коду дійсно мали ту саму мету, що і Васю, вони б додали значення "unknown", окреме від "default". Але у них явно була якась інша задача, а приклад писав менеджер з реклами, тому така фігня і написана.

• 2.13 , толлейбусізбуханкі (?), 12:04 31/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - та не переживайте так, Васю-vds'у на якому цей конфіг бездумно скопіпастілі, щоб "обійти систему", в общем-то пофіг. У тому числі і той факт, що користувачі неправильних браузерів сайту не побачать.

а реальні застосування препарсера - вони для ids якихось мають сенс, захистів від атак ( "ssl2 упускає на підлогу, це точно не людина, дивні протоколи відправляємо в один балансер, нормальні, реально використовуються більшістю користувачів - в інший"), ще чого в цьому ж роді - і там, запевняю, що не ssh буде приймати default ;-)

• 2.34 , анонім (36), 00:45, 12/09/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - Ну ти ж розумніший автора прикладу, мабуть збагнеш як інші версії прописати?

• 3.18 , int13h (Ok), 23:54, 31/07/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

+1 + / - Колега, недосвідчений адміністратор, якому хтось вислав доступ до сервера у вигляді "root @ blahblah -p443" почав правити конфіги nginx і помилився, не виконавши nginx -t, зробивши синтаксичну помилку рестартанул веб-сервер. Далі, додумаєте самі.

Чи не простіше використовувати порт, наприклад, 22732 + доступ по ключу?

• 4.19 , adsh (Ok), 00:39, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Чи не простіше використовувати порт, наприклад, 22732 + доступ по ключу?

Порт може бути закритий, а ключ можна вкрасти разом з компом. Паролити ключ - це вже майже те ж саме, що заходити по паролю. Тільки пароль потрібно тримати в голові або в програмі для зберігання паролів зі стійким паролем, знову ж таки - в голові.

• 5.20 , int13h (Ok), 00:49, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - >> Чи не простіше використовувати порт, наприклад, 22732 + доступ по ключу?
> Порт може бути закритий, а ключ можна вкрасти разом з компом. паролити
> Ключ - це вже майже те ж саме, що заходити по
> Паролю. Тільки пароль потрібно тримати в голові або в програмі для
> Зберігання паролів зі стійким паролем, знову ж таки - в голові.

Відкрийте порт - в чому проблема?
Ну, якщо є складнощі з запам'ятовуванням пароля)

Просто на порт! = 22 менше "китайців" буде стукати.

Я про те, що сенсу стрім трафік ssh через nginx немає, це якось неправильно

• 6.21 , adsh (Ok), 01:21, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Відкрийте порт - в чому проблема?

Описаний в статті рецепт відноситься до ситуації, коли на хостингу відкриті тільки задані порти і змінити це не можна.

> Я про те, що сенсу стрім трафік ssh через nginx немає, це якось неправильно

Звичайно неправильно і десь навіть віддає ідіотизмом.

• 7.23 , int13h (Ok), 9:43, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Описаний в статті рецепт відноситься до ситуації, коли на хостингу відкриті тільки задані порти і змінити це не можна.

Ми говоримо про хостинг або сервері (апаратному, віртуалізувати)? Якщо про хостинг, то Вам ніхто не дасть стрім ssh через nginx

• 5.22 , ssh (Ok), 9:37, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Пароль ключ - це вже майже те ж саме, що заходити по паролю.

Вас обманули. Пасс-фраза вводиться один раз при авторизації в системі, опціонально після кожної розблокування екрану. А до хостів підключаєтеся за допомогою ssh host;)

• 6.24 , adsh (Ok), 15:12, 01/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Вас обманули. Пасс-фраза вводиться один раз при авторизації в системі, опціонально після
> Кожної розблокування екрану. А до хостів підключаєтеся за допомогою ssh host;)

Ви самі себе обдурили. Це від клієнта залежить, як він працює з паролем до ключу.

• 7.29 , ssh (Ok), 14:48 07/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Ви самі себе обдурили. Це від клієнта залежить, як він працює з
> Паролем до ключу.

Зрозуміло я мав на увазі клієнт з комплекту OpenSSH, там саме так як я написав. Використовуйте агент і не складайте нам тут. :)

• 4.28 , анонім (28), 23:00, 05/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Nginx і помилився, не виконавши nginx -t, зробивши синтаксичну помилку рестартанул веб-сервер.

І nginx НЕ рестартанул, а залишився працювати зі старим конфіг, так як саме так він себе і веде в пристойних системах. Перевірено електроніками.

• 5.30 , анонім (30), 10:00, 22/08/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - омг, restart! = reload.
ви описали поведінку для reload'а, а при restart'е виконується зупинка процесу і його запуск.
тому якщо конфиг битий запуск завершується з помилкою.

• 6.31 , moo (?), 9:08, 04/09/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - Залежить від ОС.
У нормальних - при restart'е перед стопом робиться nginx -t.

• 2.35 , анонім (36), 00:47, 12/09/2018 [ ^ ] [ ^^ ] [ ^^^ ] [ відповісти ]

/ - > Так, а для чого це робити? Не, серйозно - для чого?

А чому ні-то? Хіба мало звідки закортить до сервера достукатися, і може там все крім 80/443 блокують.