Записки админа
12.8K subscribers
647 photos
28 videos
227 files
2.45K links
Пишу о Linux и администрировании серверов.

Связаться с автором: @servers

Заметки в браузере: https://sysadmin.pm/

Буст канала: https://yangx.top/sysadminnotes?boost
加入频道
Увидеть какие процессы не дают освободить место на диске после удаления файла можно с помощью lsof:

# lsof -a +L1 /path/to/dir

#будничное #lsof
В копилку интересных сайтов сегодня предлагаю добавить https://explainshell.com - ресурс, на котором можно получить описание введённой вами команды.

Автор распарсил почти 30 тысяч man страниц в Ubuntu репозитории, попытался выделить каждый аргумент для каждой программы и создал сайт, на котором можно ввести любую команду и получить её описание.

Полностью ошибок при парсинге избежать не удалось, однако в целом задумка всё равно выглядит занятной. Загляните как будет возможность.

#man #shell
📓 Сегодняшняя заметка о том, как можно быстро и достаточно просто организовать мониторинг изменений файлов в системе с помощью tripwire. Утилиту используют как при обнаружении вторжений, так и при анализе целостности системы, и её аудите на соответствие политикам безопасности.

#будничное #tripwire
Меж тем, увидел свет Debian 9 (Stretch). Мои поздравления всем причастным. 🤓

https://www.debian.org/News/2017/20170617

#debian
А у нас с вами, меж тем, очередная уязвимость в ядре (CVE-2017-1000364) и glibc в придачу (CVE-2017-1000366).

Кратко вот здесь: https://access.redhat.com/security/vulnerabilities/stackguard

В деталях по этой ссылке: https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt

Обязательно изучите и не забудьте проверить обновления для своих систем.

#security
Ransomware завоёвывает Linux или поучительная история о хостере, который согласился выплатить 1 миллион долларов за выкуп зашифрованных клиентских данных.

Используя, предположительно, модифицированную версию шифровальщика Erebus и уязвимости в устаревшем ПО, злоумышленникам удалось зашифровать данные 153 Linux серверов и 3400 клиентских сайтов южнокорейского хостера Nayana. Изначально, злоумышленники требовали за расшифровку почти 4.4 миллиона долларов, однако в ходе переговоров удалось снизить стоимость выкупа до одного миллиона.

К большому сожалению, хостер не озаботился своевременным обновлением ПО, например на его серверах работало ядро 2.6.24.2 (2008 год), Apache 1.3.36 и PHP 5.1.4 (2006 год), разумеется, для этих версий достаточно и уязвимостей, и готовых эксплойтов, чем видимо и воспользовались злоумышленники.

О чём это всё? Да всё о том же...

1. ПО на серверах нужно обновлять регулярно, а за выходом обновлений безопасности обязательно следить.
2. Бекапы данных с сервера делать на внешнее хранилище, причём так, что бы с самих серверов на это хранилище нельзя было повлиять.

Берегите свои данные и данные своих клиентов (по моему я опять повторяюсь).
MongoDB_Shell_Cheat_Sheet.pdf
135.3 KB
Неплохая шпаргалка по MongoDB в коллекцию. Будет полезна всем, кто начинает работу с этой базой.

#шпаргалки #mongodb
Забегался в делах и пропустил новость о том, что создатели ProtonMail (вы же знаете такой защищённый почтовый сервис?) презентовали в открытом доступе проект ProtonVPN, на котором среди нескольких тарифов есть бесплатный. Если кто-то ещё не знал об этой новости, загляните на https://protonvpn.com/

К слову, интересно узнать мнение вот по какому вопросу:

Доверяешь ли ты, мой дорогой подписчик, сторонним VPN сервисам?

😏 - Да, доверяю или доверился бы.
😈 - Нет, только свой собственный сервер.
🤔 - Не использую VPN совсем.

Спасибо за мнение.
Простая разница в iptables:

DROP - просто закрывает соединение и ничего не отправляет в ответ.
REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable.

В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.

#будничное #iptables
Быстро создать rpm пакет из deb пакета можно с помощью утилиты alien 👽:

alien -r -c -v package_0.99-3-gb637151_amd64.deb

Создать deb пакет из rpm можно вот так:

alien -c -v package-0.99_3-1.x86_64.rpm

Очень удобная штука в случаях когда у тебя есть парк машин с разными ОС, на которые нужно подготовить пакет с каким-то ПО.

#будничное #alien
В OpenVPN были найдены несколько уязвимостей, которые потенциально могут привести к проблемам. Одна из них, при определённых условиях, может привести к выполнению кода на сервере. Информацию об уязвимостях опубликовал Гвидо Вренкен, после проведения fuzzing тестирования кодовой базы пакета.

Исправления уже выпущены разработчиками, так что если Вы используете OpenVPN, обязательно выберите время и займитесь установкой обновлений на сервер.

#openvpn
Отличный инструмент для проверки шелл скриптов на ошибки - shellcheck (в некоторых дистрибутивах ShellCheck). Просто ставим его из репозиториев, а затем выполняем команду:

shellcheck script.sh

Результатом выполнения команды будет отчёт с указанием на явные, допущенные в процессе написания скрипта ошибки.

#будничное #shell
📓 Сегодняшняя заметка о том, как настроить Nginx и SSL на 100% прохождение тестов на SSLLabs. Однако не могу не отметить отдельно - далеко не всегда 100% прохождение таких тестов есть что-то хорошее. Для популярного, посещаемого ресурса обязательно стоит изучить аудиторию, и если среди посетителей есть те, кто пользуется устаревшими браузерами, или старыми ОС, имеет смысл подумать о более мягкой настройке веб-сервера. В противном случае - да, можно увидеть красивые зелёные полоски и циферки в тестах, но не увидеть части реальных посетителей, для которых сайт окажется не доступен из-за жёстких настроек.

#будничное #nginx #ssl
Такие дела.
Таки удалили google.ru из реестра, но "осадочек-то остался". Интересно, дождёмся ли мы каких-либо комментариев по произошедшему, и если дождёмся, то будет ли там что-то кроме "это не мы, это потому что вот у них-то...". Печально всё это.
И ещё один неплохой курс по администрированию Linux. Актуальность информации - весна 2017. Лекции достаточно длинные (1-2 часа каждая), но думаю что выделить на них несколько вечеров (особенно тем кто только начинает всё это изучать) однозначно стоит.

https://www.youtube.com/playlist?list=PLrCZzMib1e9rx3HmaLQfLYb9ociIvYOY1

#видео
Об этом уже давно предупреждают и регистраторы, и хостеры, но всё равно находятся те, кто продолжает на подобное попадаться. Друзья, если среди нас есть владельцы сайтов, или есть знакомые, которые работают над сайтами, покажите им вот такое вот письмо, и попросите их быть бдительными, не вестись на этот развод.

Если кратко - злоумышленники, прикидываясь регистратором доменов или хостером (письмо при этом немного другое, но суть та же), присылают такой вот фейк-запрос о необходимости размещения файлов. Позже, если файл таки оказывается размещён, через него происходит взлом сайта, что разумеется приводит к печальным последствиям.

Будьте аккуратнее, не попадайтесь на всё вот это вот. Хорошей пятницы вам. 🤓
🔏 В одном из чатов, в связи с последними новостями по поводу блокировки Telegram, возник вопрос быстрого поднятия собственного proxy сервера. Короткая заметка по настройке 3proxy для работы socks и http прокси прилагается.

#будничное #3proxy
Приветствую всех кто оказался на канале по рекомендации Константина. Надеюсь вам у нас понравится. 🤓

А я меж тем, с не очень хорошими новостями:

Объявлено об обнаружении 10 уязвимостей в гипервизоре XEN. Некоторые из них, при определённых условиях дают возможность атакующему выйти за пределы гостевой в хост систему.

Подробности и патчи доступны по ссылке https://xenbits.xen.org/xsa/ Обязательно закройте уязвимости, если ещё не сделали этого.

#security #xen