Слушайте, если вы это раньше видели - мои извинения за повтор, но если не видели, вот вам пятничная ссылка - http://www.windows93.net/ Поиграл в Half-Life 3, понравилось. 🤓
#пятничное
#пятничное
При появлении ошибки
Но лучше таки обновить и настроить софт на сервере так, что бы устаревшие алгоритмы не использовались совсем.
#будничное #ssh
"... no matching key exchange method found. Their offer: diffie-hellman-group1-sha1" в момент соединения по SSH, достаточно просто включить нужный алгоритм обмена ключами:ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 [email protected]Но лучше таки обновить и настроить софт на сервере так, что бы устаревшие алгоритмы не использовались совсем.
#будничное #ssh
📓 Читатель нашёл меня в одном из чатов и справедливо заметил, что заметка о замене диска в рейде будет не полной без информации о том, что при замене /dev/sda, необходимо заново установить загрузчик. Короткий мануал по этому поводу прилагается.
#будничное #grub
#будничное #grub
t.me
Восстановление GRUB
1. Загружаем сервер в rescue, входим по SSH и монтируем нужные партации:
Бывают случаи (например, при некорректном выключении сервера, или замене диска в рейде), когда загрузка сервера при включении происходит слишком долго из-за запустившейся проверки\пересчёта квот. Если такой пересчёт запустился в самый неудачный момент, и на ожидание у администратора времени нет - сервер нужно вернуть в сеть быстро, имеет смысл убрать из /etc/fstab параметры...
... без этих параметров, при загрузке сервера квоты проверяться не будут, и он запустится быстро. Позже, в удобный момент времени, администратор сможет вновь вернуть квоты в систему.
#будничное #quota
usrquota,grpquota... без этих параметров, при загрузке сервера квоты проверяться не будут, и он запустится быстро. Позже, в удобный момент времени, администратор сможет вновь вернуть квоты в систему.
#будничное #quota
Продолжаем по Stepic'у. Сегодня хотел бы порекомендовать Вам курс по безопасности веб-проектов. Всё чётко, по полочкам, с виртуальной лабораторией для экспериментов. Попробуйте, возможно найдёте для себя что-то полезное.
https://stepik.org/127/
#stepic
https://stepik.org/127/
#stepic
Stepik: online education
Анализ безопасности веб-проектов
Крэш-курс по техникам аудита безопасности веб-проектов. После прохождения курса вы освоите: общие знания относительно рисков, сопровождающих современные интернет-приложения; методики анализа безопасности клиент-серверных приложений; методики анализа кода;…
Увидеть какие процессы не дают освободить место на диске после удаления файла можно с помощью lsof:
#будничное #lsof
# lsof -a +L1 /path/to/dir#будничное #lsof
В копилку интересных сайтов сегодня предлагаю добавить https://explainshell.com - ресурс, на котором можно получить описание введённой вами команды.
Автор распарсил почти 30 тысяч man страниц в Ubuntu репозитории, попытался выделить каждый аргумент для каждой программы и создал сайт, на котором можно ввести любую команду и получить её описание.
Полностью ошибок при парсинге избежать не удалось, однако в целом задумка всё равно выглядит занятной. Загляните как будет возможность.
#man #shell
Автор распарсил почти 30 тысяч man страниц в Ubuntu репозитории, попытался выделить каждый аргумент для каждой программы и создал сайт, на котором можно ввести любую команду и получить её описание.
Полностью ошибок при парсинге избежать не удалось, однако в целом задумка всё равно выглядит занятной. Загляните как будет возможность.
#man #shell
📓 Сегодняшняя заметка о том, как можно быстро и достаточно просто организовать мониторинг изменений файлов в системе с помощью tripwire. Утилиту используют как при обнаружении вторжений, так и при анализе целостности системы, и её аудите на соответствие политикам безопасности.
#будничное #tripwire
#будничное #tripwire
t.me
Tripwire. Контроль файлов в системе.
В случае, когда ставится задача мониторинга изменения важных файлов в системе, стоит обратить внимание на утилиту tripwire, которая с этой задачей отлично справляется. В ходе первой инициализации, tripwire сканирует файловую систему, занося в свою базу информацию…
Меж тем, увидел свет Debian 9 (Stretch). Мои поздравления всем причастным. 🤓
https://www.debian.org/News/2017/20170617
#debian
https://www.debian.org/News/2017/20170617
#debian
А вот здесь информация о том, какие изменения безопасности ждут пользователей RHEL 7.4, а значит и CentOS 7.
#centos #rhel
#centos #rhel
Redhat
Enhancing the security of the OS with cryptography changes in Red Hat Enterprise Linux 7.4
Today we see more and more attacks on operating systems taking advantage of various technologies, including obsolete cryptographic algorithms and protocols. As such, it is important for an operating system not only to carefully evaluate the new technologies…
А у нас с вами, меж тем, очередная уязвимость в ядре (CVE-2017-1000364) и glibc в придачу (CVE-2017-1000366).
Кратко вот здесь: https://access.redhat.com/security/vulnerabilities/stackguard
В деталях по этой ссылке: https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
Обязательно изучите и не забудьте проверить обновления для своих систем.
#security
Кратко вот здесь: https://access.redhat.com/security/vulnerabilities/stackguard
В деталях по этой ссылке: https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
Обязательно изучите и не забудьте проверить обновления для своих систем.
#security
Ransomware завоёвывает Linux или поучительная история о хостере, который согласился выплатить 1 миллион долларов за выкуп зашифрованных клиентских данных.
Используя, предположительно, модифицированную версию шифровальщика Erebus и уязвимости в устаревшем ПО, злоумышленникам удалось зашифровать данные 153 Linux серверов и 3400 клиентских сайтов южнокорейского хостера Nayana. Изначально, злоумышленники требовали за расшифровку почти 4.4 миллиона долларов, однако в ходе переговоров удалось снизить стоимость выкупа до одного миллиона.
К большому сожалению, хостер не озаботился своевременным обновлением ПО, например на его серверах работало ядро 2.6.24.2 (2008 год), Apache 1.3.36 и PHP 5.1.4 (2006 год), разумеется, для этих версий достаточно и уязвимостей, и готовых эксплойтов, чем видимо и воспользовались злоумышленники.
О чём это всё? Да всё о том же...
1. ПО на серверах нужно обновлять регулярно, а за выходом обновлений безопасности обязательно следить.
2. Бекапы данных с сервера делать на внешнее хранилище, причём так, что бы с самих серверов на это хранилище нельзя было повлиять.
Берегите свои данные и данные своих клиентов (по моему я опять повторяюсь).
Используя, предположительно, модифицированную версию шифровальщика Erebus и уязвимости в устаревшем ПО, злоумышленникам удалось зашифровать данные 153 Linux серверов и 3400 клиентских сайтов южнокорейского хостера Nayana. Изначально, злоумышленники требовали за расшифровку почти 4.4 миллиона долларов, однако в ходе переговоров удалось снизить стоимость выкупа до одного миллиона.
К большому сожалению, хостер не озаботился своевременным обновлением ПО, например на его серверах работало ядро 2.6.24.2 (2008 год), Apache 1.3.36 и PHP 5.1.4 (2006 год), разумеется, для этих версий достаточно и уязвимостей, и готовых эксплойтов, чем видимо и воспользовались злоумышленники.
О чём это всё? Да всё о том же...
1. ПО на серверах нужно обновлять регулярно, а за выходом обновлений безопасности обязательно следить.
2. Бекапы данных с сервера делать на внешнее хранилище, причём так, что бы с самих серверов на это хранилище нельзя было повлиять.
Берегите свои данные и данные своих клиентов (по моему я опять повторяюсь).
MongoDB_Shell_Cheat_Sheet.pdf
135.3 KB
Неплохая шпаргалка по MongoDB в коллекцию. Будет полезна всем, кто начинает работу с этой базой.
#шпаргалки #mongodb
#шпаргалки #mongodb
Забегался в делах и пропустил новость о том, что создатели ProtonMail (вы же знаете такой защищённый почтовый сервис?) презентовали в открытом доступе проект ProtonVPN, на котором среди нескольких тарифов есть бесплатный. Если кто-то ещё не знал об этой новости, загляните на https://protonvpn.com/
К слову, интересно узнать мнение вот по какому вопросу:
Доверяешь ли ты, мой дорогой подписчик, сторонним VPN сервисам?
😏 - Да, доверяю или доверился бы.
😈 - Нет, только свой собственный сервер.
🤔 - Не использую VPN совсем.
Спасибо за мнение.
К слову, интересно узнать мнение вот по какому вопросу:
Доверяешь ли ты, мой дорогой подписчик, сторонним VPN сервисам?
😏 - Да, доверяю или доверился бы.
😈 - Нет, только свой собственный сервер.
🤔 - Не использую VPN совсем.
Спасибо за мнение.
Proton VPN
The best VPN for speed and security
Get fast, secure VPN service in 110+ countries. Download our free VPN now — or check out Proton VPN Plus for even more premium features.
Простая разница в iptables:
В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.
#будничное #iptables
DROP - просто закрывает соединение и ничего не отправляет в ответ.REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable.В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.
#будничное #iptables
Быстро создать rpm пакет из deb пакета можно с помощью утилиты alien 👽:
Создать deb пакет из rpm можно вот так:
Очень удобная штука в случаях когда у тебя есть парк машин с разными ОС, на которые нужно подготовить пакет с каким-то ПО.
#будничное #alien
alien -r -c -v package_0.99-3-gb637151_amd64.debСоздать deb пакет из rpm можно вот так:
alien -c -v package-0.99_3-1.x86_64.rpmОчень удобная штука в случаях когда у тебя есть парк машин с разными ОС, на которые нужно подготовить пакет с каким-то ПО.
#будничное #alien
В OpenVPN были найдены несколько уязвимостей, которые потенциально могут привести к проблемам. Одна из них, при определённых условиях, может привести к выполнению кода на сервере. Информацию об уязвимостях опубликовал Гвидо Вренкен, после проведения fuzzing тестирования кодовой базы пакета.
Исправления уже выпущены разработчиками, так что если Вы используете OpenVPN, обязательно выберите время и займитесь установкой обновлений на сервер.
#openvpn
Исправления уже выпущены разработчиками, так что если Вы используете OpenVPN, обязательно выберите время и займитесь установкой обновлений на сервер.
#openvpn
Guido Vranken
The OpenVPN post-audit bug bonanza
Summary I’ve discovered 4 important security vulnerabilities in OpenVPN. Interestingly, these were not found by the two recently completed audits of OpenVPN code. Below you’ll find most…
Отличный инструмент для проверки шелл скриптов на ошибки - shellcheck (в некоторых дистрибутивах ShellCheck). Просто ставим его из репозиториев, а затем выполняем команду:
Результатом выполнения команды будет отчёт с указанием на явные, допущенные в процессе написания скрипта ошибки.
#будничное #shell
shellcheck script.shРезультатом выполнения команды будет отчёт с указанием на явные, допущенные в процессе написания скрипта ошибки.
#будничное #shell
📓 Сегодняшняя заметка о том, как настроить Nginx и SSL на 100% прохождение тестов на SSLLabs. Однако не могу не отметить отдельно - далеко не всегда 100% прохождение таких тестов есть что-то хорошее. Для популярного, посещаемого ресурса обязательно стоит изучить аудиторию, и если среди посетителей есть те, кто пользуется устаревшими браузерами, или старыми ОС, имеет смысл подумать о более мягкой настройке веб-сервера. В противном случае - да, можно увидеть красивые зелёные полоски и циферки в тестах, но не увидеть части реальных посетителей, для которых сайт окажется не доступен из-за жёстких настроек.
#будничное #nginx #ssl
#будничное #nginx #ssl
Записки админа
Nginx. Настройка SSL.
Один из клиентов настоял на том, что бы при настройке сервера, тесты на SSLLabs проходили бы на все 100% при рейтинге A+. На сервере установлен Nginx и панель VestaCP с помощью которой происходит работа с сертификатами от Let’s Encrypt (впрочем, настройка…