12612
Пишу о Linux и администрировании серверов. Связаться с автором: @servers Заметки в браузере: https://sysadmin.pm/ Буст канала: https://t.me/sysadminnotes?boost
В OpenVPN были найдены несколько уязвимостей, которые потенциально могут привести к проблемам. Одна из них, при определённых условиях, может привести к выполнению кода на сервере. Информацию об уязвимостях опубликовал Гвидо Вренкен, после проведения fuzzing тестирования кодовой базы пакета.
Исправления уже выпущены разработчиками, так что если Вы используете OpenVPN, обязательно выберите время и займитесь установкой обновлений на сервер.
#openvpn
Простая разница в iptables:
DROP - просто закрывает соединение и ничего не отправляет в ответ.
REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable.
В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.
#будничное #iptables
Неплохая шпаргалка по MongoDB в коллекцию. Будет полезна всем, кто начинает работу с этой базой.
#шпаргалки #mongodb
А у нас с вами, меж тем, очередная уязвимость в ядре (CVE-2017-1000364) и glibc в придачу (CVE-2017-1000366).
Кратко вот здесь: https://access.redhat.com/security/vulnerabilities/stackguard
В деталях по этой ссылке: https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
Обязательно изучите и не забудьте проверить обновления для своих систем.
#security
Меж тем, увидел свет Debian 9 (Stretch). Мои поздравления всем причастным. 🤓
https://www.debian.org/News/2017/20170617
#debian
В копилку интересных сайтов сегодня предлагаю добавить https://explainshell.com - ресурс, на котором можно получить описание введённой вами команды.
Автор распарсил почти 30 тысяч man страниц в Ubuntu репозитории, попытался выделить каждый аргумент для каждой программы и создал сайт, на котором можно ввести любую команду и получить её описание.
Полностью ошибок при парсинге избежать не удалось, однако в целом задумка всё равно выглядит занятной. Загляните как будет возможность.
#man #shell
Продолжаем по Stepic'у. Сегодня хотел бы порекомендовать Вам курс по безопасности веб-проектов. Всё чётко, по полочкам, с виртуальной лабораторией для экспериментов. Попробуйте, возможно найдёте для себя что-то полезное.
https://stepik.org/127/
#stepic
📓 Читатель нашёл меня в одном из чатов и справедливо заметил, что заметка о замене диска в рейде будет не полной без информации о том, что при замене /dev/sda, необходимо заново установить загрузчик. Короткий мануал по этому поводу прилагается.
#будничное #grub
Слушайте, если вы это раньше видели - мои извинения за повтор, но если не видели, вот вам пятничная ссылка - http://www.windows93.net/ Поиграл в Half-Life 3, понравилось. 🤓
#пятничное
Если когда-нибудь, вас попросят развернуть дамп БД, который был сделан на windows машине, при этом, дамп на хостинг-сервере корректно не развернётся из-за странных проблем с символом перевода строки, попросите сдампить БД заново, но при этом, вместо >, использовать параметр --result-file или -r. Оказывается, это имеет значение.
mysqldump -uuser -p user768_wp -r user768_wp.sql
#будничное #mysqldump
Тот самый законопроект о мессенджерах, который прошёл первое чтение в Госдуме. Потратьте 10 минут времени хотя бы на пояснительную записку, что бы понимать чего ожидать.
Читать полностью…
Когда нужно быстро создать файл большого размера, а ждать dd не хочется:
$ fallocate -l 100G file.img
$ du -sh file.img
101G file.img
#будничное #fallocate
💬 Сегодня я хотел бы порекомендовать вам канал @MicrosoftRus.
Я как линуксовый админ пишу по своей теме, а Антон, автор канала, в свою очередь пишет о Microsoft и Windows Server. Занятно что по некоторым смежным вопросам у нас даже есть похожие посты. Если в силу работы, либо по мере развития в профессии, в круге ваших интересов есть операционная система Windows, обязательно загляните на @MicrosoftRus и подпишитесь. Уверен, там вы найдёте для себя много интересного.
#рекомендация #windows
Занесла меня нелёгкая в место, где админы чутко следят за своей сетью, открывают только нужные для работы порты, а всё остальное держат закрытым. И родилась в ходе посещения этих мест следующая заметка о том, как можно быстро и просто поднять аналогичное VPN'у соединение и завернуть в него весь трафик с помощью sshuttle.
#ssh #vpn #sshuttle
🔍 C find на хостинге приходится работать часто, он серьёзно упрощает решение многих задач при массовой работе с файлами и директориями. Небольшая заметка с примерами того функционала find, к которому чаще всего приходится обращаться.
#будничное #find
Быстро создать rpm пакет из deb пакета можно с помощью утилиты alien 👽:
alien -r -c -v package_0.99-3-gb637151_amd64.deb
Создать deb пакет из rpm можно вот так:
alien -c -v package-0.99_3-1.x86_64.rpm
Очень удобная штука в случаях когда у тебя есть парк машин с разными ОС, на которые нужно подготовить пакет с каким-то ПО.
#будничное #alien
Забегался в делах и пропустил новость о том, что создатели ProtonMail (вы же знаете такой защищённый почтовый сервис?) презентовали в открытом доступе проект ProtonVPN, на котором среди нескольких тарифов есть бесплатный. Если кто-то ещё не знал об этой новости, загляните на https://protonvpn.com/
К слову, интересно узнать мнение вот по какому вопросу:
Доверяешь ли ты, мой дорогой подписчик, сторонним VPN сервисам?
😏 - Да, доверяю или доверился бы.
😈 - Нет, только свой собственный сервер.
🤔 - Не использую VPN совсем.
Спасибо за мнение.
Ransomware завоёвывает Linux или поучительная история о хостере, который согласился выплатить 1 миллион долларов за выкуп зашифрованных клиентских данных.
Используя, предположительно, модифицированную версию шифровальщика Erebus и уязвимости в устаревшем ПО, злоумышленникам удалось зашифровать данные 153 Linux серверов и 3400 клиентских сайтов южнокорейского хостера Nayana. Изначально, злоумышленники требовали за расшифровку почти 4.4 миллиона долларов, однако в ходе переговоров удалось снизить стоимость выкупа до одного миллиона.
К большому сожалению, хостер не озаботился своевременным обновлением ПО, например на его серверах работало ядро 2.6.24.2 (2008 год), Apache 1.3.36 и PHP 5.1.4 (2006 год), разумеется, для этих версий достаточно и уязвимостей, и готовых эксплойтов, чем видимо и воспользовались злоумышленники.
О чём это всё? Да всё о том же...
1. ПО на серверах нужно обновлять регулярно, а за выходом обновлений безопасности обязательно следить.
2. Бекапы данных с сервера делать на внешнее хранилище, причём так, что бы с самих серверов на это хранилище нельзя было повлиять.
Берегите свои данные и данные своих клиентов (по моему я опять повторяюсь).
А вот здесь информация о том, какие изменения безопасности ждут пользователей RHEL 7.4, а значит и CentOS 7.
#centos #rhel
📓 Сегодняшняя заметка о том, как можно быстро и достаточно просто организовать мониторинг изменений файлов в системе с помощью tripwire. Утилиту используют как при обнаружении вторжений, так и при анализе целостности системы, и её аудите на соответствие политикам безопасности.
#будничное #tripwire
Увидеть какие процессы не дают освободить место на диске после удаления файла можно с помощью lsof:
# lsof -a +L1 /path/to/dir
#будничное #lsof
Бывают случаи (например, при некорректном выключении сервера, или замене диска в рейде), когда загрузка сервера при включении происходит слишком долго из-за запустившейся проверки\пересчёта квот. Если такой пересчёт запустился в самый неудачный момент, и на ожидание у администратора времени нет - сервер нужно вернуть в сеть быстро, имеет смысл убрать из /etc/fstab параметры...
usrquota,grpquota
... без этих параметров, при загрузке сервера квоты проверяться не будут, и он запустится быстро. Позже, в удобный момент времени, администратор сможет вновь вернуть квоты в систему.
#будничное #quota
При появлении ошибки "... no matching key exchange method found. Their offer: diffie-hellman-group1-sha1" в момент соединения по SSH, достаточно просто включить нужный алгоритм обмена ключами:
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 root@1.2.3.4
Но лучше таки обновить и настроить софт на сервере так, что бы устаревшие алгоритмы не использовались совсем.
#будничное #ssh
Ещё одна хорошая шпаргалка по Docker'у в коллецкию. На этот раз от RedHat.
#docker #шпаргалки
👨🏻🎓 Неплохой обобщающий курс по web-технологиям на stepic.org. Там сделан уклон на разработку, но вы таки загляните надосуге, возможно найдёте его интересным для себя.
https://goo.gl/zUFtk6
#stepic
📨 Небольшая заметка о том, как можно решить нестандартные задачи при обработке писем с помощью фильтров в Exim.
#будничное #exim
Иногда, при переносе сайта и дампе MySQL базы, начинается чехорда с кодировками. Особенно часто такое бывает при переносе со старых версий ПО, на актуальные.
В общем случае, получить дамп в UTF-8 кодировке можно просто добавив --default-character-set=utf8 при выполнении mysqldump, однако иногда случаются ситуации, когда повторно дамп в верной кодировке делать уже не с чего (база и сайт удалены с сервера), и приходится работать с тем что есть. Здесь нам на помощь приходит iconv - утилита, с помощью которой мы сможем сменить кодировку дампа.
$ iconv -f windows-1251 -t utf-8 db_dump.sql > db_dump.utf-8.sql
Увидеть текущую кодировку файла можно с помощью утилит:
$ file -bi db_dump.sql
text/plain; charset=iso-8859-1
$ chardetect db_dump.sql
db_dump.sql: windows-1255 with confidence 0.99
#будничное #iconv #mysqldump
Друзья, я искренне считаю, что качественным авторским каналам в Telegram нужно держаться вместе и помогать друг другу в развитии. В связи с этим, я хочу запустить на канале хештег #рекомендация, в рамках которого я время от времени буду делиться с вами интересными авторскими каналами IT тематики. Такие записи не будут удаляться из ленты, так что по хештегу можно будет найти этакую подборку хороших, по моему мнению, каналов. 🤓
#рекомендация
С очередным апдейтом в Windows для работы WSL больше не нужен Режим разработчика. Теперь достаточно просто включить этот компонент, после чего установка Ubuntu в систему будет доступна администратору.
Читать полностью…
Сделать терминал не скучным можно с помощью lolcat, например:
$ gem install lolcat
$ cowsay -f turtle "@SysadminNotes - заметки админа в Telegram." | lolcat -a
#lolcat