сервер
5 статей с этим тегом
Инвентаризация безопасности — 7 проверок, которые упускают владельцы нескольких серверов
Для одиночек/малых операторов инциденты происходят не столько из отсутствующих мер, сколько из неотслеживаемого состояния. Граница — это ПК, хранящий ваши ключи. Ранжируйте 2FA по корню доверия, составьте матрицу SSH-ключей, чтобы убить дубликаты/неиспользуемые/осиротевшие, уберите пароли открытым текстом из облака, устраняйте обратимо по одному и держите секреты вне реестра. Инвентаризация прежде добавления инструментов.
Оставили файл с секретом в публичной директории? Проверьте свой webroot
Всё, что в вашем webroot, любой может скачать по URL. Забытый JSON с токеном/учётными данными, .env или резервная копия означают мгновенную утечку — и если он пришёл из общего шаблона, дыра одна и та же у каждого сайта. Исправление: кладите в публичную директорию только то, чем можно публично делиться, держите секреты вне webroot с правами 600, а найдя один — проверьте каждый сайт и хост.
Самохостинг Git vs GitHub: что на самом деле безопаснее?
Самохостинг Git не делает вас «безопаснее» — он перемещает риск. Класс случайной публичной выставленности исчезает, но патчинг сервера, резервные копии и обнаружение секретов в pre-commit переходят на вас. Правильный выбор, если вы платите цену; хуже GitHub, если запускаете. Взгляд этого сайта: самохостинг работает только в связке с компенсирующими мерами.
Не давайте root-ключи средам, которые можно скомпрометировать: наименьшие привилегии SSH-ключа
Регистрация root-ключа в продакшене из эфемерной, компрометируемой среды (под GPU, раннер CI, одноразовая ВМ) означает, что в тот миг, когда среда скомпрометирована, продакшен забирают с root. Исправление: никаких root-ключей в эфемерных средах; убирать ключи, когда не используются; если снова нужно — пользователь не root плюс ключ с ограничением команды, ограничивающий ключ одной операцией. Переиспользуемый ключ — ваш самый критичный актив; никогда не стройте конфигурацию «одна утечка — всё».
Как держать .env вне публичного веба на общем хостинге
Настоящее исправление: тело приложения вне docroot, наружу только public/. Остановите кровотечение через .htaccess, сделайте постоянным реструктуризацией, затем самопроверка. Взгляд этого сайта: это не оплошность одного человека, а отраслево-стандартизированный плохой паттерн — чините процессом, а не бдительностью. bootstrap-redirect лучше симлинка.