Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp.
DO предоставили пользователям специальный скрипт, который выполнит проверку:
https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh
Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.
#security #digitalocean
DO предоставили пользователям специальный скрипт, который выполнит проверку:
https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh
Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.
#security #digitalocean
В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему.
https://debgen.simplylinux.ch/
#фидбечат #debian
https://debgen.simplylinux.ch/
#фидбечат #debian
Записки админа via @vote
Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло
anonymous poll
Идея хорошая, давай попробуем. – 260
👍👍👍👍👍👍👍 93%
Спорная идея, не уверен что это нужно. – 21
👍 7%
👥 281 people voted so far.
anonymous poll
Идея хорошая, давай попробуем. – 260
👍👍👍👍👍👍👍 93%
Спорная идея, не уверен что это нужно. – 21
👍 7%
👥 281 people voted so far.
На работе, многие серверы у нас бекапятся с помощью r1soft. И вот на днях случилась проблема - после установки всех последних доступных обновлений, модуль ядра для программы-агента этой системы перестал собираться. Ни автоматическая сборка, ни ручная на билд-сервере проблему не решали.
В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:
Для RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/
#будничное #r1soft #cdp
В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:
# cd /lib/modules/r1soft/# wget -c http://beta.r1soft.com/modules/Centos_7.4/hcpdriver-cki-3.10.0-693.2.2.el7.x86_64.ko# /etc/init.d/cdp-agent restartДля RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/
#будничное #r1soft #cdp
Тем временем, мой Wordpress прислал уведомление о том, что он обновился до версии 4.8.2. Разработчики закрыли 9 серьёзных проблем безопасности (SQL injection и пачка XSS), так что обязательно обновитесь, если ещё не сделали этого.
Подробности здесь:
https://goo.gl/msR29d
К слову, судя по всему, CVE-2017-8295 разработчики так и не закрыли. При том что первые репорты об уязвимости получили ещё аж в июле 2016.
Подробности уязвимости можно найти здесь:
https://goo.gl/ZKwABg
Если кратко - злоумышленник может сформировать определённый HTTP запрос, содержащий предустановленную переменную hostname и в то же время инициирующий сброс пароля для нужного пользователя. В ходе выполнения атаки, письмо будет отправлено на почту того пользователя, чей пароль сбрасывается, но в полях From и Return-Path уже будет стоять ящик атакующего на проблемном домене.
Если атакующий, при этом, сделает так, что почта пользователя окажется не доступна, то письмо для сброса пароля будет перенаправлено на email злоумышленника. Так же, при ответе пользователем на письмо (Но разве на них кто-то отвечает?), ответ уйдёт злоумышленнику.
Проблема актуальна на серверах с Apache, и так как патчей и исправлений разработчиками представлено не было (они, судя по всему, не считают эту проблему критической), специалисты рекомендуют в конфиге апача использовать опцию UseCanonicalName, которая позволит установить статическое значение
#wordpress #security
Подробности здесь:
https://goo.gl/msR29d
К слову, судя по всему, CVE-2017-8295 разработчики так и не закрыли. При том что первые репорты об уязвимости получили ещё аж в июле 2016.
Подробности уязвимости можно найти здесь:
https://goo.gl/ZKwABg
Если кратко - злоумышленник может сформировать определённый HTTP запрос, содержащий предустановленную переменную hostname и в то же время инициирующий сброс пароля для нужного пользователя. В ходе выполнения атаки, письмо будет отправлено на почту того пользователя, чей пароль сбрасывается, но в полях From и Return-Path уже будет стоять ящик атакующего на проблемном домене.
Если атакующий, при этом, сделает так, что почта пользователя окажется не доступна, то письмо для сброса пароля будет перенаправлено на email злоумышленника. Так же, при ответе пользователем на письмо (Но разве на них кто-то отвечает?), ответ уйдёт злоумышленнику.
Проблема актуальна на серверах с Apache, и так как патчей и исправлений разработчиками представлено не было (они, судя по всему, не считают эту проблему критической), специалисты рекомендуют в конфиге апача использовать опцию UseCanonicalName, которая позволит установить статическое значение
SERVER_NAME, что не даст злоумышленнику подменить переменную.#wordpress #security
WordPress News
WordPress 4.8.2 Security and Maintenance Release
WordPress 4.8.2 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately. WordPress versions 4.8.1 and earlier are affec…
👨🏼💻 Заметка о настройке rate limit в Nginx. Небольшой разбор настройки ограничений и создание белого списка для них.
📗 Открыть на сайте
#будничное #nginx
📗 Открыть на сайте
#будничное #nginx
t.me
NGINX. Лимит частоты запросов.
Немного об ограничении частоты запросов к определённому адресу на сервере с Nginx и настройке исключений для такого ограничения.
🏷 Пара слов о том, что такое CAA запись, для чего она нужна, как её правильно использовать для защиты своего домена и сайта, и как её можно быстро сгенерировать с помощью https://sslmate.com/caa/
📗 Открыть на сайте
#будничное #ssl #dns #caa
А вы уже прописали CAA для своих доменов?
✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.
📗 Открыть на сайте
#будничное #ssl #dns #caa
А вы уже прописали CAA для своих доменов?
✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.
t.me
Генерируем CAA запись
Защитить свой домен от несанкционированного выпуска SSL сертификата для него можно с помощью CAA записи в DNS, проверка которой уже стала обязательной с осени 2017 года.
💭 Помогая одному товарищу, пришлось оперативно вспомнить старый добрый DDOS Deflate и его использование. Собственно, заметка по работе с этим скриптом прилагается.
📗 Открыть на сайте
#будничное #ddos
📗 Открыть на сайте
#будничное #ddos
t.me
DDOS Deflate
DDOS Deflate — скрипт, который поможет администратору в защите сервера от простых атак. Серьёзный DDoS конечно же не отобьёт, но сделать так, что бы любители запускать HOIC или slowloris не беспокоили, сможет легко.
🆖 Небольшой мануал о том, как подружить между собой ModSecurity и Nginx. Ставим, настраиваем, проверяем работу и получаем почти что ModSecurity WAF для Nginx Plus.
📗 Открыть на сайте
#будничное #nginx #modsecurity
📗 Открыть на сайте
#будничное #nginx #modsecurity
t.me
Nginx и ModSecurity
Устанавливаем ModSecurity на сервер с Nginx и тестируем его работу. Сам Nginx забираем из репозиториев, а ModSecurity и нужный модуль собираем из исходников. Почти ModSecurity WAF для тех, у кого нет Nginx Plus.
⚙️ ️Буквально пара слов и примеры использования параметров ядра для увеличения производительности сети. Не претендую на истину в последней инстанции, просто записал то, что в разных ситуациях на разных площадках использую сам.
📗 Открыть на сайте
#будничное #sysctl
📗 Открыть на сайте
#будничное #sysctl
t.me
Тюнинг с помощью sysctl.conf.
Изменение параметров ядра имеет смысл выполнять только при полном понимании происходящего. Оптимизация одного, может привести к повышенному потреблению ресурсов другого. Не стоит просто копировать и вставлять приведённые ниже параметры, обязательно обратитеcь…
20150325_network_performance_tuning.pdf
268.8 KB
Red Hat Enterprise Linux Network Performance Tuning Guide
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
Меж тем, в ядре обнаружена очередная уязвимость (CVE-2017-1000253), которая позволяет при её использовании повысить привилегии в системе. Под ударом оказались версии:
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
http://seclists.org/oss-sec/2017/q3/541
#security #kernel
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
http://seclists.org/oss-sec/2017/q3/541
#security #kernel
seclists.org
oss-sec: Qualys Security Advisory - Linux PIE/stack corruption (CVE-2017-1000253)
📉 Разбираемся с sysdig и csysdig - утилитами для мониторинга работы процессов и активности системы в реальном времени.
📗 Открыть на сайте
#будничное #sysdig #scysdig
📗 Открыть на сайте
#будничное #sysdig #scysdig
t.me
Sysdig и Csysdig.
Sysdig — удобный и функциональный инструмент, дающий администратору широкие возможности для сбора информации о работающей системе.
К слову, как раз сейчас sysdig проводит двухдневную конференцию. Запись прошедшего дня уже есть на ютубе:
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
Продолжая тему sysdig - графическая утилита для анализа scap файлов - функционал тот же что и у csysdig, но выглядит, конечно, куда приятней.
https://github.com/draios/sysdig-inspect
#sysdig
https://github.com/draios/sysdig-inspect
#sysdig
🐧 Несколько слов о Linuxbrew. К нему я в будущем буду время от времени обращаться при установке какого-то ПО с гитхаба, так что эта заметка точно лишней не будет.
📗 Открыть на сайте
#linuxbrew #brew
📗 Открыть на сайте
#linuxbrew #brew
t.me
Linuxbrew
Linuxbrew — форк проекта Homebrew для MacOS. Удобный инструмент для быстрой установки некоторых программ, не требующий при этом прав суперпользователя.