9963
Пишу о Linux и администрировании серверов. Связаться с автором: @servers Заметки в браузере: https://sysadmin.pm/
🙉 Это не баг, это фича.
Есть такой занимательный ресурс - whoami.filippo.io, если подключиться к нему по SSH, то при определённых обстоятельствах, сервис выдаст персональную информацию о подключившемся.
ssh whoami.filippo.io
Информация собираются сервисом на основе передаваемых при соединениях данных об открытых SSH ключах. По умолчанию, SSH при подключении начинает перебирать имеющиеся открытые ключи один за другим. Могут быть переданы не все ключи, так как перебор будет выполняться, на основе алгоритмов шифрования, например, если из 20 ключей в системе, под нужные параметры будет подходить пять, SSH отправит сервереру их, пробуя с каждым из них авторизоваться поочерёдно.
Используя эту особенность, и то что все открытые ключи на Github доступны (https://github.com/torvalds.keys на то они и открытые, на самом деле), и уже достаточно давно собраны в единую базу, сервис whoami.filippo.io сопоставляет полученные при соединении ключи с теми данными что собраны на Github, и выдаёт суммарную информацию, которая имеется в наличии. На данный момент, у меня во всяком случае, выдаёт не много - юзернейм на Github и указанные там имя и фамилию.
Для того что бы при соединении по SSH конкретному хосту отдавался конкретный ключ, можно воспользоваться настройкой в .ssh/config:
yes
Host github.com
IdentityFile ~/.ssh/id_rsa
И вот с одной стороны - вроде бы ничего страшного не происходит, используются только открытые данные, да и в профиле может быть указано всё что угодно. Но не далече как два дня назад, мы с одним товарищем, просто на основе фотографии здания на одном из TOR сайтов, используя только открытые, доступные всем данные, собрали на человека приличное количество информации, где было и ФИО, и места работы, и фото, и видео где он музицировал, и архив фото его друзей, и ещё много чего. На всё про всё ушло минут 10 времени.
Я, собственно, к чему всё это - может быть и не зря параноики о своих данных пекутся... Особенно сегодня, в 2к18.
Да, скомкал как-то две темы в одну, и да, опять побурчал про приватность, но что-то вот пришли такие мысли субботним утром. Ну и да, а вас, камрады, приватность вашей личности ещё заботит?
🙈 Приватностью озабочен серьёзно.
🙊 Да, местами ещё вспоминаю о ней.
🐵 Не заморачиваюсь почти никак.
#естьмнение
🐳 Docker треннинг.
Тут обнаружился очень неплохой бесплатный треннинг по Docker'у.
http://training.play-with-docker.com/ops-landing/
С конкретными примерами в ходе обучения и возможностью сразу опробовать их (для этого потребуется учётная запись на id.docker.com).
Выглядит очень неплохо (не смотря на не самую очевидную навигацию в начале), так что если давно хотели с докером разобраться - загляните обязательно.
#docker #видео
Тут в curl'е обнаружились проблемы при работе с редиректом и заголовком "Authorization:", следствием которых может стать утечка данных. Подвержены версии libcurl от 7.1 до 7.57.0 включительно. Если где-то, например в скриптах, curl используется, имеет смысл обновить его до версии, где уязвимость уже исправлена.
Подробности по ссылке:
http://seclists.org/oss-sec/2018/q1/94
#curl #security
✏️ Эксперимент с донатами.
Друзья, пожалуй, можно обявить, что эксперимент с донатами на канале завершён. Признаюсь честно - их было не много, но каждому кто задонатил я хочу сказать - Спасибо. Средства, внесённые вами ушли на баланс облачного провайдера, которого я использую для тестов при подготовке заметок, в ходе помощи в каких-то вопросах в чатах, при прямых обращениях и т. п.
Канал вошёл в прежнее, активное рабочее русло, это требует некоторого времени и сил, думаю будет справедливо, если 1-2 раза в неделю здесь будет появляться реклама, которая поможет мне и дальше над каналом работать продуктивно. Надеюсь, камрады, вы всё прекрасно понимаете и сами, и никакого "жжжжжж" по этому поводу не случится.
Впереди у нас небольшой ребрендинг (да-да, я всё ещё до него не могу добраться), подборка хештегов канала, возвращение дайджеста и несколько других мелочей, о которых просили подписичики. Продолжаем работать, друзья. 🤓
Linux Piter выложили материалы последней конференции. Есть интересные вещи, так что загляните обязательно.
Плейлист на Youtube: https://goo.gl/P2V3U9
#видео #конференции
Сегодня будет немного Github'а, друзья. Для начала - несколько странная на мой взгляд разработка, о которой мне рассказали в одном из фидбеков:
https://github.com/Bash-it/bash-it
Bash-it - этакий фреймворк, содержащий в себе уже готовые автодополнения, алиасы и написанные функции, которые призваны облегчить жизнь системному администратору. Если решите попробовать, то обязательно сделайте бекап ~/.bash_profile и ~/.bashrc файлов перед установкой.
Возможно, кому-то подобный фреймворк консольные будни действительно облегчит, но например у меня за годы использования Linux на сервере и десктопе сформировался уже собственный список алисов, с которым, по ощущениям, работать куда удобнее чем вот с таким, готовым решением от энтузиастов.
#фидбечат #bash
Друзья, в CentOS Web Panel v0.9.8.12, обнаружена удалённая SQL Injection уязвимость. Если кто-то этой панелью пользуется, будьте в курсе происходящего.
Подробности здесь:
https://vulners.com/vulnerlab/VULNERLAB:1833
И здесь:
https://www.vulnerability-lab.com/get_content.php?id=1833
#centoswebpanel #security #centos
📧 Между делом сообщают - IP Google в очередной раз оказался в листинге SORBS, и к сожалению, те почтовые серверы, которые этот dnsbl используют у себя, часть почты от Gmail могут отфильтровать. Проблема, скорее всего, временная, затрагивет далеко не всех. Случается такое уже не в первый раз, и решится, я думаю, быстро.
Владельцы почтовых серверов, которые с эффектом от листинга уже столкнулись, могут добавить IP Google в белый список. IP можно взять здесь:
https://support.google.com/a/answer/27642?hl=en
#фидбечат #sorbs #google
💻 Bashdb.
Bashdb - дебаггер для bash скриптов. Задачка по дебагу оных не часто встречается, но если столкнулись с ней, на bashdb стоит обратить внимание.
#фидбечат #bash #bashdb
📚 Книги.
А ещё, обнаружился занятный ресурс, на котором бесплатно, без регистрации и смс, для загрузки доступны книги по программированию, разработке, администрированию и т. п.:
http://goalkicker.com
Материал подготовлен ребятами из Stack Overflow Documentation, выглядит относительно свежим, вёрстка приятная, читается легко. Загляните обязательно, думаю что-то полезное для себя найдёте.
#книга
👨🏻💻 GoAccess.
Смотрим на анализатор логов GoAccess. Из приятного - работает прямо в терминале, умеет обрабатывать информацию из пайплайна, работает с логом в реальном времени, обрабатывает несколько логов одновременно и имеет ещё несколько приятных функций.
📗 Открыть на сайте
#goaccess #logs
Начали год с уязвимостей, так и продолжаем, они, судя по всему, стали уже неотъемлимой частью этого канала.
В Glibc обнаружена уязвимость, используя которую злоумышленник может повысить свои привелегии в системе. Подробности доступны по ссылкам:
https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/
http://www.openwall.com/lists/oss-security/2018/01/11/5
Обязательно проследите за выпуском обновлений для вашего дистрибутива.
#security #glibc
Второй - книга о готовке для гиков от OReilly.
Cooking for Geeks Real Science.
Забирайте, если интересно, возможно, что-то новое для себя узнаете. 🙂
#фидбечат #книга
И вот ещё небольшая заметка об установке grsecurity ядра в Debian с помощью специального скрипта.
📗 https://sysadmin.pm/debian-grsecurity/
#debian #grsecurity
На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет.
Тред на HN:
https://news.ycombinator.com/item?id=16112894
status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241
OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882
#security #ssl #letsencrypt
👨🏻🎓 Ещё треннинги.
И вот тут подкинули ссылку на ресурс с большим количеством неплохих треннингов практически по всем трендовым вещам на сегоняшний день:
https://www.katacoda.com/learn
Контейнеры, машинное обучение, облака, обработка данных и всё вот это вот. Доступно бесплатно, потренироваться можно прямо в браузере, так что потратить время на ознакомление очень рекомендую.
#фидбечат #курсы
💎 Криптовалюта повсюду. Серьёзно. Если открыть статистику, можно увидеть что Telegram каналов, рассказывающих о криптовалютах очень и очень много. Но куда меньше среди них тех каналов, что рассматривают не только финансовую, но и техническую сторону как самой крипты в частности, так и блокчейн технологии в целом.
Сегодня я хочу познакомить вас с каналом - @blockchaining - здесь автор не только обозревает ситуацию на рынке ICO и криптовалют, он так же пишет и о том как применяется блокчейн, где применятеся блокчейн, когда и какие последние разработки в этой сфере существуют в мире. Совмещение блокчейн и ИИ, испольование технологии учёными, оптимизация блокчейн разработки - в том числе и такие материалы встречаются здесь.
Стало интересно? Это хороший повод заглянуть на @blockchaining, подписаться, осмотреться там и быть в курсе происхоящего. 🙂
#реклама
Принёс вам крутую штуку - online-генератор конфига для Nginx.
Открываем сайт, выбираем нужный набор параметров, забираем готовые конфиги и тестируем их у себя. 🙂
https://nginxconfig.io/
#nginx
🔎 Virusgotal.
Кроссплатформенная cli обёртка для работы с Virustotal. На самом деле удобная штука, когда тебе надо быстро проверить какой-то файл, отправив его на анализ прямо с сервера. Спасибо за фидбек. 🙂
📗 Открыть на сайте
#фидбечат #virustotal #security
И вот ещё занятный репозиторий, который содержит необходимый набор конфигов и сценариев Ansible для быстрого разворота персонального IPSEC VPN'а на популярных облачных платформах - DigitalOcean, Amazon EC2, Azure, Google Cloud или, при необходимости, на собственном сервере.
https://github.com/trailofbits/algo
#vpn #ipsec #algo
Те кто со мной более-менее часто переписываются, знают что я IT'шное сообщество в Telegram называю, этакой уютной деревней, где очень часто одни и те же люди пересекаются в разных тематических чатах и группах. Толковый чат по безопасности в Linux у нас имеется, большой чат с вопросами-ответами по Linux системам тоже, есть несколько среднего размера чатов, и есть небольшие уютненькие группы, где обсуждается что-то тематическое. Своего чата я не завожу принципиально, но о других периодически рассказываю, когда сам их встречаю, или когда их админы выходят на меня. Сегодня как раз такой случай, камрады.
Всех спешу познакомить с чатом @Vo_IT - не большой, дружелюбный, достаточно отзывчивый. Создан для системных администраторов, обсуждаются разные вопросы (серверные решения, интеграция, всё вот это вот), чаще связанные с телефонией. Так что, если кому-то близки такие вещи как FreePBX, Asterisk, CUCM, ну или кому-то просто хочется очередного чатика для общения - загляните в @Vo_IT на огонёк обязательно.
#рекомендация
📑 Snoopy.
Несколько слов о snoopy - библиотеке, с помощью которой мы можем писать в syslog все выполненные на сервере команды. Пишется и сама команда, и аргументы, что порой, при анализе, бывает очень нужно и удобно.
📗 Открыть на сайте
#snoopy #logs
Тот случай, когда ты пост написал, подготовил его для канала, опубликовал... А ссылку поставить забыл... И понял это только через полтора часа... 🤦🏻♂️
О Bashdb заметка здесь: https://sysadmin.pm/bashdb/
Всем хороших выходных, камрады, что бы без вот таких вот мелких упущений. 🙂
#фидбечат #bash #bashdb
В коллекцию ссылок, вдруг кого-то так же заинтересует:
http://www.makelinux.net/kernel_map/
Это интерактивная карта Linux ядра. Что с чем связано, что к чему относится и всё вот это вот.
#kernel
🐳 DigitalOcean.
DigitalOcean снизил цены и пересмотрел некоторые свои тарифы. Ценник всё ещё выше чем в среднем по рынку, но для всех, кому нужно срочно и быстро мощный сервер на пол часика потестировать что-то, и для всех кому просто бложек разместить на достаточно надёжной платформе, всё стало ещё вкуснее. Сам я с DO работаю достаточно давно, впечатления от работы положительные.
Вот вам рефералочка, на случай если решите попробовать:
https://m.do.co/c/f5fc7b0a963d
#digitalocean
Вчера поставили задачку - увеличить производительность OpenVPN сервера. Как следствие, появилась заметка об увеличении буфера, с разбором, почему для повышения скорости работы нужно его увеличить.
📗 Открыть на сайте
#openvpn
К слову, история получила продолжение.
https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5
Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:
- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.
Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:
https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:
https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207
Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.
#letsencrypt #certbot #security
На неделе прислали пару занятных фидбеков. 🙂
Первый - стрелялка, написана на bash, запускается в консоли и поддерживет режим для двух игроков. https://github.com/vaniacer/piu-piu-SH
#фидбечат
ModSecurity 3 Nginx quick start guide.
Куда более подробный разбор модсека для Nginx, чем делал я. Обязательно познакомьтесь с книгой, если вопрос настройки WAF для вас важен.
#книга #waf #nginx
А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.
📗 https://sysadmin.pm/block-tor-iptables-csf/
#iptables #ipset #csf
