9963
Пишу о Linux и администрировании серверов. Связаться с автором: @servers Заметки в браузере: https://sysadmin.pm/
А тут ещё и Nginx обновился, закрыв уязвимость, которая при определённых обстоятельствах может привести к проблемам.
Вот здесь чуть подробнее:
http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html
Временное решение, для тех кому обновления пока что не доступны:
max_ranges 1;
#security #nginx
Разработчиков Grsecurity понесло, и понесло достаточно серьёзно. Тот кто следит за ситуацией, знает что некоторое время назад, ребята решили от всех огородиться и закрыли свободный доступ к своим патчам, оставив их предоставление только платным подписчикам.
Однако сами патчи распространяются (распространялись?) под GPLv2, а значит платным подписчикам ничего не мешает патчами делиться. И этим, возможно, пользовались, в том числе и в рамках проекта KSPP (перенос наработок Grsecurity в основное ядро). Дошло до того, что представители Grsecurity заговорили о судебном иске, а в условия сотрудничества добавили дополнительный пункт, запрещающий передачу патчей третьим лицам.
Интересно в данном случае то, что добавленное требование нарушает GPLv2. На это сразу же обратили внимание. Брюс Перенс (Open Source Initiative, BusyBox, Debian) дал свою оценку происходящему, а Линус Торвальдс и вовсе призвал Grsecurity не использовать (он и раньше не особо жаловал их подход на самом деле).
Мнения kernel-аналитиков с дивана разделились. Кто-то пытается оправдать представителей Grsecurity, считая что от них действительно отмахнулись — в основное ядро так и не взяли, грант выделили проекту KSPP. Кто-то же наоборот такой подход осуждает.
Как по мне (тоже с дивана мнение, если что) — Grescurity является проектом полезным, не смотря на то что они не следуют тем концепциям, которые обозначены в сообществе ядра Linux. Но огородились зря. Да, понимаю что всем хочется кушать, отдыхать, семью обеспечивать, но возможно ребятам стоило поискать какие-то ещё варианты монетизации — репозиторий и поддержка ядер с включенными патчами например… Хотя, возможно, это сложная задача, так как обычно такие ядра нужно конфигурировать на конкретном сервере\окружении. Или попытаться расширить поддержку по использованию их патчей, давать консультации по внедрению и т. п. У меня опыт сборки ядра с их патчами был, и были случаи когда от квалифицированной поддержки я бы не отказался тогда.
Но всё сложилось так как сложилось, и похоже что история на этом ещё не закончилась. Для интересующихся список ссылок с подробностями:
Претензии:
https://goo.gl/6bhRbc
Линус:
https://goo.gl/KX3MuL
Брюс:
https://goo.gl/5hKavM
KSPP:
https://goo.gl/zy5jVr
О последнем хочется сказать пару слов отдельно - проект, на мой взгляд, занимается очень полезным делом, пытаясь выступить своеобразным компромиссом между радикальными решениями PAX\Grescurity и принятым в сообществе ядра вектором развития. С учётом того как быстро сейчас развиваются технологии, как быстро растёт количество устройств с тем или иным ядром Linux на борту, увеличение безопасности самого ядра становится очень важной задачей, и очень хорошо что проект её пытается решить.
#естьмнение #grsecurity
Тем временем, в Windows Store завезли Ubuntu. Теперь дистрибутив как и SUSE доступен для установки из магазина приложений.
#windows #ubuntu
Немного новостей:
1. Мы внезапно перевалили за 1000+. Привет всем заглянувшим на огонёк, отдельный привет пришедшим с @g33ks, надеюсь вам у нас понравится. Был очень удивлён размещением там, администратору канала моя отдельная благодарность. 🤓
2. С несколькими подписчиками выяснили, что на некоторых клиентах, Instant View ссылки на заметки в блоге не открываются. Судя по всему, связано это с тем, что клиенты не понимают ссылки вида t.me/iv?url=, ожидая что тут должен оказаться юзернейм, а не адрес сайта. Сделать с этим что-то пока что нельзя, так что я немного скорректирую формат постов для таких заметок - теперь в посте будет доступна и IV ссылка, и ссылка сразу на сайт. Сам сайт слегка довёл до ума, так что в мобильных браузерах он должен открываться корректно.
Такие дела, друзья. Продолжаем работать. 🤘🏻
Много разных способов реализации backconnect'а доступно по ссылке:
http://itsecwiki.org/index.php?title=Backconnect
#будничное #фидбечат
Наглядно про криптографию, 256bit, GPU и даже немного про майнинг.
https://www.youtube.com/watch?v=S9JGmA5_unY
#видео
Когда отошёл от ноутбука, забыл заблокировать экран, а дети решили помочь тебе поработать. Прошу прощения, друзья.
Читать полностью…
Вот тут пишут что у VK утекла база на 81 миллион аккаунтов. Так что вы на всякий случай смените свой пароль там, и друзей тоже попросите сменить, во избежание проблем.
https://pastebin.com/qbByRKgR
Почти готов мануал по созданию автоматически наполняемого картинками (под свободной лицензией) канала. Скриптами и описанием работы обязательно поделюсь с вами, друзья. Лайк ниже, если это интересно.
Читать полностью…
Поделюсь-ка я с вами интересным подкастом от SDCast. В 58 выпуске участие в подкасте принял Павел Одинцов, который рассказал о проекте FastNetMon - свободной системе для обнаружения DDoS атак. Как по мне, подкаст вышел интересным. Поговорили и о теории, и о практике защиты. Немного поговорили и об open source в принципе.
Почитать текстом и посмотреть несколько интересных ссылок дополнительно можно вот здесь https://sdcast.ksdaemon.ru/2017/07/sdcast-58/
Сайт проекта FastNetMon https://fastnetmon.com/
Файл с подкастом приложу отдельно, следующим сообщением. К слову, SDCast могу смело порекомендовать как качественный подкаст, который очень часто делает занятные вещи, приглашает интересных гостей и поднимает актуальные темы. И нет, это не реклама, друзья. 🤓
#fastnetmon #ddos
Друзья, вашему вниманию сегодня, я хотел бы представить канал @geekview. Среди десятков других, которые всё больше становятся похожи на обычные новостные ленты, этот канал явно выделяется именно авторским мнением о тех или иных вещах и событиях гик-мира.
Если вам уже приелся обычный формат новостей, я настоятельно рекомендую к каналу @geekview присмотреться и подписаться на него. Уверен, автор вас приятно удивит. 🤓
#реклама
На одном из серверов, при переносе данных, произошёл сбой - клиентским файлам и директориям не были присвоены корректные владелец и группа, а в /etc/passwd и /etc/group и вовсе оказались дубли. Быстро проверить и починить системные файлы с информацией о пользователях и группах удалось с помощью утилит:
# pwck
# grpck
Перед испольованием этих команд обязательно сделайте бекап /etc/passwd, /etc/shadow, /etc/group и /etc/gshadow.
Найти же все файлы, которые никаким пользователям не принадлежат, удалось с помощью find:
# find ./ -xdev \( -nouser -o -nogroup \) -print
#будничное #find #pwck
Результаты тестирования сайтов из топа Alexa с помощью Mozilla Observatory.
Читать полностью…
Интересная история об ошибке, которую Леннарт Поттеринг ошибкой не счёл и соответствующий баг закрыл.
Было обнаружено, что если любой сервис в системе запустить от пользователя, имя которого начинается с цифры, то процесс будет запущен с правами того UID, который этой цифре соответствует. Что бы было проще для понимания - если кто-то по незнанию, создаст в системе пользователя 0lolosha или 0day, и запустит сервис от его имени (пропишет соответствующее в .service файле), то сервис этот будет запущен с правами root.
Сам Леннарт придерживается позиции, что в Linux имена пользователей, начинающиеся с цифры не корректны в принципе, так что описанное выше поведение - это не ошибка и не уязвимость.
Я в данном случае, остаюсь на стороне тех, кто считает, что проблема имеет место, и разработчикам стоит хотя бы ограничить её воспроизведение. Например, не запускать сервис, а выводить ошибку, если имя пользователя, от которого запускается сервис, начинается с цифры.
Всем заинтересовавшимся, с подробностями рекомендую ознакомиться здесь https://github.com/systemd/systemd/issues/6237
А всем начинающим администраторам хочу напомнить, что при создании пользователя, первым символом в логине обязательно должна быть латинская буква. Не стреляйте себе в ногу, не начинайте имена пользователей с циферки.
#systemd #security
📓 Попросили сегодня проверить два сервера, на которых chkrootkit сработал на tcpd. К счастью, срабатывание оказалось ложным. Занятно то, что происходит оно на разных версиях Ubuntu. Написал короткую заметку по ситуации, будьте в курсе, если вдруг столкнётсь с подобным.
#будничное #chkrootkit #ubuntu
Смотрите что принёс... Мэтью Брайант (спец по безопасности DNS) обнаружил и показал возможность получения контроля над доменом первого уровня, следствием чего является получение полного контроля над всеми доменами в доменной зоне. В ходе реализации атаки, Мэтью получил контроль над 4 из 7 первичных DNS в зоне .io. Смысл атаки сводится к поиску и регистрации освободившихся доменов, которые использовались в качестве имён первичных DNS. Обычно, регистрация таких доменов блокируется, но не в этом случае. В качестве примера, Метью зарегистрировал домен ns-a1.io, дождался активации услуги и убедился что он действительно получил контроль над одним из первичных NS.
Дабы не допустить возможность реализации атаки, исследователь зарегистрировал так же ns-a2.io, ns-a3.io и ns-a4.io и связался с поддержкой NIC.IO. На следующий день, он получил уведомление о блокировке доменов и возврате потраченных средств.
За подробностями можно заглянуть сюда:
https://goo.gl/ZUnepT
А здесь доступен инструментарий для проведения атаки:
https://github.com/mandatoryprogrammer/trusttrees
P. S. Ситуация на самом деле - жесть.
#security #dns
Разработчики Node.js выпустили обновления для всех доступных на сегодняшний день версий от v4.x до v8.x. В рамках этих обновлений, была закрыта опасная уязвимость, используя которую, злоумышленник может вызвать отказ в обслуживании. Так что если вы работаете с Node.js, обязательно обновитесь, не затягивайте с этим.
https://nodejs.org/en/blog/vulnerability/july-2017-security-releases/
#security #nodejs
Ещё немного о backconnect, но теперь уже на практике - короткая заметка о том, как можно организовать удалённый доступ на машину, которая стоит за NAT'ом.
📘 Открыть Instant View
📗 Открыть на сайте
#будничное #ssh #backconnect
После переписки с одним из подписчиков начал перебирать закладки и там нашёл старый, но очень хороший, всё ещё не потервший актуальность пошаговый мануал о том как вступить на путь системного администратора Linux. Всем заинтересованным рекомендую (абстрагируясь от мнения автора о Windows) изучить материал и попытаться выполнить предложенные задания.
http://nodesquad.blogspot.ru/2013/04/blog-post.html
Не обращайте внимания на дату поста, всё что описано в заданиях там, актуально и на сегодняшний день. Разве что версии дистрибутивов стали новее. 🤓
Стоило только открыть контакт для связи в описании канала, как сразу же начал получать фидбек. Спасибо всем, кто проявляет участие.
Понял что есть смысл на канале запустить новый хештег #фидбечат. В рамках этого хештега, я время от времени буду публиковать то, чем делятся со мной другие читатели. Будет публиковаться не всё подряд, какие-то интересные вещи, то что приходит по теме канала, то что приходит в виде дополнений к существующим постам, в ленту попадать будет.
#фидбечат
Начнём наши очередные ссылочные выходные. И начнём их с ещё одного неплохого курса на Степике.
https://stepik.org/73/
Курс будет интересен тем, кто с операционной системой Linux только знакомится. Авторы неплохо проходят по вопросам установки, базового функционала рабочего стола, переходят к работе на сервере, написанию скриптов и полезному в работе инструментарию.
Единственное что могу предложить от себя, тем кто по этому курсу решит пройти - попробуйте поставить не рекомендованный авторами курса дистрибутив, а какой-то распространённый, или тот который уже вам чем-то приглянулся. С одной стороны, это немного усложнит именно прохождение курса, с другой стороны, вы получите неплохой для начинающего багаж знаний (впрочем, вы его в любом случае получите).
#stepic
Тут подписчики справедливо замечают что это может быть просто старая БД, которая давно в паблике гуляет. Но это ведь не отменяет того, что периодическая смена паролей - это хорошая практика. 🤓
P. S. А вообще, добавил в описание канала свой контакт, так что если что, теперь можно писать напрямую, не через бота (не очень удобным оно оказалось, как по мне).
Ну что друзья, делюсь с вами мануалом по созданию канала, который будет автоматом наполняться хорошими изображениями, которые не обременены излишними авторскими правами. Для применения мануала необходимо иметь базовые навыки работы в командной строке любой операционной системы Linux (А кто говорил что будет легко?) и собственную площадку, где скрипты из мануала можно будет запустить - это может быть хостинг, на котором разрешён запуск скриптов по крону, или собственный виртуальный сервер.
В мануале представлены два скрипта. Первым мы получаем контент, второй используем для публикации через бота. Сами скрипты написаны на bash'e, они очень простые для понимания человеку, который с написанием скриптов сталкивался ранее. Скрипты, как и всю эту тему, любой желающий может использовать на своё усмотрение, но мне будет приятно, если Вы упомяните канал @SysadminNotes при этом. :)
Если к идее будет проявлен интерес, или если мне опять будет скучно, то проект получит своё развитие - есть наброски модулей для добавления случайной подписи к картинке, для публикации текста с некоторых ресурсов интернета в чат и т. п. Когда эти модули будут введены в работу я не знаю. По мере возможности и настроения. Сейчас скрипт полностью автоматизирует одну простую функцию - постинг изображений в чат.
Вместе с анонсом, считаю уместным сделать предложение - если вы совсем ничего не понимаете в скриптах, в том что такое виртуальный сервер и всё вот это вот, но при этом хотите настроить автопостинг картинок себе в канал (или получить готовый канал с настроенным автопостингом), вы можете написать мне @servers, за очень демократичную оплату (пусть будет от 50 рублей в месяц) я помогу вам настроить всё необходимое в канале, а скрипт для постинга запущу в работу на своей площадке. При этом, конечно же, нужно учитывать что, у вас в канале администратором будет работать бот, через который будет вести постинг мой скрипт. Кроме этого, я не смогу гарантировать 100% уникальность картинок относительно других каналов, так как мануал и скрипты я выкладываю в общий доступ. Пишите если это будет вам интересно.
По поводу нужности\ненужности такого скрипта и мануала - друзья, тут каждый решает сам. Мне просто хотелось чем-нибудь развлечь себя в один из дождливых вечеров, и в результате появилось вот это. 🤓 Если для вас материал оказался полезным - отлично, пользуйтесь на здоровье.
#telegram #автоматизация
В процессе написания одного скрипта, понадобилось распарсить JSON файл. После часа костылей с применением sed'а выяснил, что для этого есть прекрасный инструмент - jq. Работает утилита вот так:
# jq '.nextPage' file.list
Можно так же разбирать документ по уровням в одном выражении:
# cat file.list | jq '.results | .[] | .post_id'
#будничное #json
А вы знали об утилите, которая позволяет проверить конфигурацию Nginx? Если нет - знакомьтесь, Gixy - инструмент для тестирования и проверки конфига Nginx, появившийся на свет из недр Яндекса.
На действительно сложных конфигурациях применять его мне не приходилось (да и умудрённые опытом админы вряд ли допустят ошибки в конфигах), но на обычных серверах явные огрехи утилита выявить помогала не единожды. Особенно Gixy выручает в моменты, когда на администрирование встаёт новый сервер, с самописным большим конфигом, который глазами пройти бывает не просто.
#будничное #nginx #gixy
Век живи - век учись. Два часа возни в очередной раз доказали, что порой полезно просто заглянуть в man. 🤓
Что бы sed -i не ломал симлинки при массовой обработке файлов, необходимо использовать параметр --follow-symlinks:
sed -i --follow-symlinks 's/PAM_1/PAM_2/g' ./sites-enabled/*.conf
#будничное #sed
Есть ли среди нас владельцы сайтов, которые используют Cloudflare в работе? Для нас с вами подоспела хорошая новость - несколько дней назад, Cloudflare запустил платформу с веб-приложениями (Cloudflare Apps), которые можно легко разместить и использовать у себя на сайте. Приложений уже доступно достаточно много - от простых всплывающих окон, форм и переводчика, до антиблокировщиков рекламы и утилит для электронной коммерции. Какие-то приложения доступны бесплатно, другие же требуют оплаты при использовании.
На мой скромный взгляд, нововведение выглядит очень интересно. Владельцы сайтов могут не утруждать себя изучением программирования и вёрстки, они просто в несколько кликов активируют приложение для своего ресурса, который работает через Cloudflare. Для разработчиков же, доступна документация по созданию собственных утилит, так что скорее всего, постепенно список приложений будет только увеличиваться.
Если вы используете Cloudflare в работе сайта, обязательно загляните на https://www.cloudflare.com/apps/ Возможно уже сейчас вы найдёте там что-то интересное для своего ресурса.
#cloudflare
Чуть меньше года назад, Mozilla запустила проект Mozilla Observatory - это инструмент, с помощью которого можно проверить безопасность сайта. В рамках проверки, выполняются как свои собственные тесты Observatory, так и подключаются сторонние ресурсы. По итогам тестирования, владелец сайта получает информативный отчёт о том, какие технологии в работе его сайта не используются, какие слабые места в вопросах безопасности имеются, и что стоит сделать для того, что бы уровень безопасности повысить.
Выполнить проверку своего сайта можно здесь https://observatory.mozilla.org
К слову, не огорчайтесь, если результаты будут далеки от А+. Во-первых, мы по всему этому делу постепенно пройдёмся, самое важное я обязательно оформлю заметками. А во-вторых - вы будете не одиноки в подобных результатах. На протяжении всего времени работы Mozilla Observatory, ребята выполняли сканирование первого миллиона ресурсов из топа Alexa. Статистику приложу отдельным изображением. Если кратко - 93.45% ресурсов на июнь месяц имеют печальный рейтинг F.
#security #mozilla
Два месяца каналу, 700+ подписчиков и моё продолжающееся искреннее удивление происходящему. 🤓 Спасибо всем читателям Заметок, отдельное спасибо тем, кто не просто читает, а принимает участие в опросах. Ваша активность важна для меня.
Небольшой дайджест прошедшего месяца. Материалы, на которые хочется обратить внимание:
🔐 VPN, SSH тунель и Proxy в одном посте:
🔐 /channel/SysadminNotes/202
🛠 Настройка SSL на сервере с Nginx и тест SSLLabs:
🛠 /channel/SysadminNotes/188
📱 Немного про Android софт, который помогает мне в работе:
📱 /channel/SysadminNotes/131
🖱 Замена диска в программном RAID:
🖱 /channel/SysadminNotes/135
🕶 Поиск скрытых процессов в системе:
🕶 /channel/SysadminNotes/122
Я немного скорректировал описание и информацию о канале. Добавилась обратная связь (бота ещё тестирую, но по моему всё работает хорошо), так что теперь, при необходимости, вы всегда можете написать мне, а я обязательно отвечу по мере возможности. Бот для обратной связи - @SysadminTobot
Ещё раз - спасибо всем. Продолжаем работать. 👨🏻💻
Cгенерировать QR код из текста можно с помощью утилиты qrencode:
# echo "Канал @SysadminNotes" | qrencode -t UTF8
А можно и без неё, с помощью сайта qrenco.de:
# curl qrenco.de/"Канал @SysadminNotes"
#будничное #qr #qrencode