sysadminnotes | Блоги

Telegram-канал sysadminnotes - Записки админа

9963

Пишу о Linux и администрировании серверов. Связаться с автором: @servers Заметки в браузере: https://sysadmin.pm/

Подписаться на канал

Записки админа

Ну что, друзья, каналу 5 месяцев. Прирост новых участников несколько уменьшился, но этим вопросом я обязательно займусь отдельно. Мы тут в любом случае топим за качество, а не за количество. 🤓 А пока что, традиционный дайджест прошедшего месяца.

В этом месяце мы на канале:

🔐 Шифровали сообщение прямо в терминале:
🔐 /channel/SysadminNotes/408

🚷 Запрещали доступ к чужим процессам:
🚷 /channel/SysadminNotes/409

📈 Тестировали диски с помощью fio:
📈 /channel/SysadminNotes/431

💻 Разбирали утилиты для шаринга терминала:
💻 /channel/SysadminNotes/476

⏱ Выполняли нагрузочное тестирование с siege:
⏱ /channel/SysadminNotes/436

🆖 Разбирались с Rate limit в Nginx:
🆖 /channel/SysadminNotes/464

⚙️ Ставили ModSecurity для Nginx:
⚙️ /channel/SysadminNotes/468

⚠️ Вспоминали о DDOS Deflate:
⚠️ /channel/SysadminNotes/466

🔏 Генерировали CAA запись:
🔏 /channel/SysadminNotes/465

📉 Знакомились с мониторингом sysdig:
📉 /channel/SysadminNotes/472

🖱Приняли на вооружение Linuxbrew:
🖱/channel/SysadminNotes/475

И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось.

👨🏻‍💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост:
/channel/SysadminNotes/202

Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓

Читать полностью…

Записки админа

И вот ещё веб-сервер с функциями защиты от XSS и CSRF атак и SQL инъекций. SSL\TLS, аутентификация, сжатие, URL rewriting, CGI\FastCGI, IPv6 и ещё много того, то должен уметь делать веб-сервер, hiawatha делать умеет.

Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению.

https://github.com/hsleisink/hiawatha

#hiawatha

Читать полностью…

Записки админа

💻 О том как можно расшарить вывод теримнала в вебе, и о том как можно организовать совместную работу над одной сессией терминала из разных мест.

📗 Открыть на сайте

#ttyd #gotty #tmate

Читать полностью…

Записки админа

Записки админа
Продолжая тему sysdig - графическая утилита для анализа scap файлов - функционал тот же что и у csysdig, но выглядит, конечно, куда приятней.

https://github.com/draios/sysdig-inspect

#sysdig
@

Читать полностью…

Записки админа

Записки админа
📉 Разбираемся с sysdig и csysdig - утилитами для мониторинга работы процессов и активности системы в реальном времени.

📗 Открыть на сайте

#будничное #sysdig #scysdig
@

Читать полностью…

Записки админа

Red Hat Enterprise Linux Network Performance Tuning Guide

А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.

#будничное #sysctl

Читать полностью…

Записки админа

🆖 Небольшой мануал о том, как подружить между собой ModSecurity и Nginx. Ставим, настраиваем, проверяем работу и получаем почти что ModSecurity WAF для Nginx Plus.

📗 Открыть на сайте

#будничное #nginx #modsecurity

Читать полностью…

Записки админа

🏷 Пара слов о том, что такое CAA запись, для чего она нужна, как её правильно использовать для защиты своего домена и сайта, и как её можно быстро сгенерировать с помощью https://sslmate.com/caa/

📗 Открыть на сайте

#будничное #ssl #dns #caa

А вы уже прописали CAA для своих доменов?

✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.

Читать полностью…

Записки админа

https://www.youtube.com/watch?v=8IksUajJZ04

Трансляция от Selectel. Вдруг кому-то будет интересно. 🤓

Читать полностью…

Записки админа

Начальный курс по Google Cloud Platform от CBT Nuggets.

#видео #google

Читать полностью…

Записки админа

Делаем бекап базы на Amazon S3.

#видео #backup #amazon

Читать полностью…

Записки админа

Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло

Идея хорошая, давай попробуем. – 257
👍👍👍👍👍👍👍 92%

Спорная идея, не уверен что это нужно. – 21
👍 8%

👥 278 people voted so far.

Читать полностью…

Записки админа

Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp.

DO предоставили пользователям специальный скрипт, который выполнит проверку:

https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh

Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.

#security #digitalocean

Читать полностью…

Записки админа

Nginx From Beginner to Pro (2016).

Ещё одна книга. Поделился почти всем, что было из общетематического по этой теме. 🤓 Чуть позже пройдёмся по каким-то углублённым вещам.

#nginx #книга

Читать полностью…

Записки админа

Понадобился тут вывод информации о процессоре для FreeBSD.

Нашлось простое рабочее решение:

https://github.com/NanXiao/lscpu

#lscpu #freebsd #openbsd

Читать полностью…

Записки админа

А теперь ребята готовят вебинар на эту тему. Заявлено бесплатное участие для всех желающих, но требуется предварительная регистрация. Загляните если интересно:

https://www.ptsecurity.com/ru-ru/research/webinar/285539/

#intel

Читать полностью…

Записки админа

Ещё один неплохой pastebin сервис в коллекцию ссылок:

https://glot.io/

Желающие могут сделать себе такой же, исходники доступны на Github:

https://github.com/prasmussen/glot

#фидбечат #pastebin

Читать полностью…

Записки админа

Записки админа
🐧 Несколько слов о Linuxbrew. К нему я в будущем буду время от времени обращаться при установке какого-то ПО с гитхаба, так что эта заметка точно лишней не будет.

📗 Открыть на сайте

#linuxbrew #brew
@

Читать полностью…

Записки админа

Записки админа
К слову, как раз сейчас sysdig проводит двухдневную конференцию. Запись прошедшего дня уже есть на ютубе:

https://youtu.be/-Z17GnfcmFU?t=2007

Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.

#видео #sysdig
@

Читать полностью…

Записки админа

Записки админа
Меж тем, в ядре обнаружена очередная уязвимость (CVE-2017-1000253), которая позволяет при её использовании повысить привилегии в системе. Под ударом оказались версии:

- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;

В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.

Подробности можно найти здесь:

http://seclists.org/oss-sec/2017/q3/541

#security #kernel
@

Читать полностью…

Записки админа

⚙️ ️Буквально пара слов и примеры использования параметров ядра для увеличения производительности сети. Не претендую на истину в последней инстанции, просто записал то, что в разных ситуациях на разных площадках использую сам.

📗 Открыть на сайте

#будничное #sysctl

Читать полностью…

Записки админа

💭 Помогая одному товарищу, пришлось оперативно вспомнить старый добрый DDOS Deflate и его использование. Собственно, заметка по работе с этим скриптом прилагается.

📗 Открыть на сайте

#будничное #ddos

Читать полностью…

Записки админа

👨🏼‍💻 Заметка о настройке rate limit в Nginx. Небольшой разбор настройки ограничений и создание белого списка для них.

📗 Открыть на сайте

#будничное #nginx

Читать полностью…

Записки админа

Очень маленький командный интерпретатор.

https://github.com/rain-1/s

#shell

Читать полностью…

Записки админа

Тем временем, мой Wordpress прислал уведомление о том, что он обновился до версии 4.8.2. Разработчики закрыли 9 серьёзных проблем безопасности (SQL injection и пачка XSS), так что обязательно обновитесь, если ещё не сделали этого.

Подробности здесь:
https://goo.gl/msR29d

К слову, судя по всему, CVE-2017-8295 разработчики так и не закрыли. При том что первые репорты об уязвимости получили ещё аж в июле 2016.

Подробности уязвимости можно найти здесь:
https://goo.gl/ZKwABg

Если кратко - злоумышленник может сформировать определённый HTTP запрос, содержащий предустановленную переменную hostname и в то же время инициирующий сброс пароля для нужного пользователя. В ходе выполнения атаки, письмо будет отправлено на почту того пользователя, чей пароль сбрасывается, но в полях From и Return-Path уже будет стоять ящик атакующего на проблемном домене.

Если атакующий, при этом, сделает так, что почта пользователя окажется не доступна, то письмо для сброса пароля будет перенаправлено на email злоумышленника. Так же, при ответе пользователем на письмо (Но разве на них кто-то отвечает?), ответ уйдёт злоумышленнику.

Проблема актуальна на серверах с Apache, и так как патчей и исправлений разработчиками представлено не было (они, судя по всему, не считают эту проблему критической), специалисты рекомендуют в конфиге апача использовать опцию UseCanonicalName, которая позволит установить статическое значение SERVER_NAME, что не даст злоумышленнику подменить переменную.

#wordpress #security

Читать полностью…

Записки админа

На работе, многие серверы у нас бекапятся с помощью r1soft. И вот на днях случилась проблема - после установки всех последних доступных обновлений, модуль ядра для программы-агента этой системы перестал собираться. Ни автоматическая сборка, ни ручная на билд-сервере проблему не решали.

В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:

# cd /lib/modules/r1soft/
# wget -c http://beta.r1soft.com/modules/Centos_7.4/hcpdriver-cki-3.10.0-693.2.2.el7.x86_64.ko
# /etc/init.d/cdp-agent restart

Для RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/

#будничное #r1soft #cdp

Читать полностью…

Записки админа

В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему.

https://debgen.simplylinux.ch/

#фидбечат #debian

Читать полностью…

Записки админа

Меж тем, в веб-сервере Apache была обнаружена уязвимость названная Optionsbleed, которая может проявить себя при обращении к серверу с заголовком OPTIONS. При этом, может произойти утечка произвольного участка памяти, который может содержать какие-либо важные данные. С одной стороны, далеко не все ресурсы оказались уязвимы при проверке, с другой - проблема таки имеет место. Уязвимости присвоен CVE, доступны патчи для исправления, так что обязательно следите за обновлением.

Подробности можно найти по ссылке:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Протестировать можно с помощью утилиты:
https://github.com/hannob/optionsbleed

#security #apache #optionsbleed

Читать полностью…

Записки админа

Далеко не для всех, но что бы не потерялось, оставлю здесь, на канале (всё же я его и как записную книжку использую тоже 🤓)...

Утилита для вывода содержимого памяти при обращении к процессу:

https://github.com/gianlucaborello/ptexplore

#ptexplore

Читать полностью…

Записки админа

Тут в личные сообщения подкинули занятную ссылку на отчёт о найденных в официальном репозитории pypi проблемных пакетах. Знаю, что среди читателей есть люди, на питоне пишущие. Загляните по ссылке (там есть и подробности, и примеры) если ещё не видели, убедитесь что у вас всё хорошо.

http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Быстро проверить можно так:

pip list --format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)'

#фидбечат #security #pypi #python

Читать полностью…
Подписаться на канал