👨🏼💻 Заметка о настройке rate limit в Nginx. Небольшой разбор настройки ограничений и создание белого списка для них.
📗 Открыть на сайте
#будничное #nginx
📗 Открыть на сайте
#будничное #nginx
t.me
NGINX. Лимит частоты запросов.
Немного об ограничении частоты запросов к определённому адресу на сервере с Nginx и настройке исключений для такого ограничения.
🏷 Пара слов о том, что такое CAA запись, для чего она нужна, как её правильно использовать для защиты своего домена и сайта, и как её можно быстро сгенерировать с помощью https://sslmate.com/caa/
📗 Открыть на сайте
#будничное #ssl #dns #caa
А вы уже прописали CAA для своих доменов?
✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.
📗 Открыть на сайте
#будничное #ssl #dns #caa
А вы уже прописали CAA для своих доменов?
✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.
t.me
Генерируем CAA запись
Защитить свой домен от несанкционированного выпуска SSL сертификата для него можно с помощью CAA записи в DNS, проверка которой уже стала обязательной с осени 2017 года.
💭 Помогая одному товарищу, пришлось оперативно вспомнить старый добрый DDOS Deflate и его использование. Собственно, заметка по работе с этим скриптом прилагается.
📗 Открыть на сайте
#будничное #ddos
📗 Открыть на сайте
#будничное #ddos
t.me
DDOS Deflate
DDOS Deflate — скрипт, который поможет администратору в защите сервера от простых атак. Серьёзный DDoS конечно же не отобьёт, но сделать так, что бы любители запускать HOIC или slowloris не беспокоили, сможет легко.
🆖 Небольшой мануал о том, как подружить между собой ModSecurity и Nginx. Ставим, настраиваем, проверяем работу и получаем почти что ModSecurity WAF для Nginx Plus.
📗 Открыть на сайте
#будничное #nginx #modsecurity
📗 Открыть на сайте
#будничное #nginx #modsecurity
t.me
Nginx и ModSecurity
Устанавливаем ModSecurity на сервер с Nginx и тестируем его работу. Сам Nginx забираем из репозиториев, а ModSecurity и нужный модуль собираем из исходников. Почти ModSecurity WAF для тех, у кого нет Nginx Plus.
⚙️ ️Буквально пара слов и примеры использования параметров ядра для увеличения производительности сети. Не претендую на истину в последней инстанции, просто записал то, что в разных ситуациях на разных площадках использую сам.
📗 Открыть на сайте
#будничное #sysctl
📗 Открыть на сайте
#будничное #sysctl
t.me
Тюнинг с помощью sysctl.conf.
Изменение параметров ядра имеет смысл выполнять только при полном понимании происходящего. Оптимизация одного, может привести к повышенному потреблению ресурсов другого. Не стоит просто копировать и вставлять приведённые ниже параметры, обязательно обратитеcь…
20150325_network_performance_tuning.pdf
268.8 KB
Red Hat Enterprise Linux Network Performance Tuning Guide
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
Меж тем, в ядре обнаружена очередная уязвимость (CVE-2017-1000253), которая позволяет при её использовании повысить привилегии в системе. Под ударом оказались версии:
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
http://seclists.org/oss-sec/2017/q3/541
#security #kernel
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
http://seclists.org/oss-sec/2017/q3/541
#security #kernel
seclists.org
oss-sec: Qualys Security Advisory - Linux PIE/stack corruption (CVE-2017-1000253)
📉 Разбираемся с sysdig и csysdig - утилитами для мониторинга работы процессов и активности системы в реальном времени.
📗 Открыть на сайте
#будничное #sysdig #scysdig
📗 Открыть на сайте
#будничное #sysdig #scysdig
t.me
Sysdig и Csysdig.
Sysdig — удобный и функциональный инструмент, дающий администратору широкие возможности для сбора информации о работающей системе.
К слову, как раз сейчас sysdig проводит двухдневную конференцию. Запись прошедшего дня уже есть на ютубе:
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
Продолжая тему sysdig - графическая утилита для анализа scap файлов - функционал тот же что и у csysdig, но выглядит, конечно, куда приятней.
https://github.com/draios/sysdig-inspect
#sysdig
https://github.com/draios/sysdig-inspect
#sysdig
🐧 Несколько слов о Linuxbrew. К нему я в будущем буду время от времени обращаться при установке какого-то ПО с гитхаба, так что эта заметка точно лишней не будет.
📗 Открыть на сайте
#linuxbrew #brew
📗 Открыть на сайте
#linuxbrew #brew
t.me
Linuxbrew
Linuxbrew — форк проекта Homebrew для MacOS. Удобный инструмент для быстрой установки некоторых программ, не требующий при этом прав суперпользователя.
💻 О том как можно расшарить вывод теримнала в вебе, и о том как можно организовать совместную работу над одной сессией терминала из разных мест.
📗 Открыть на сайте
#ttyd #gotty #tmate
📗 Открыть на сайте
#ttyd #gotty #tmate
t.me
tmate, ttyd, gotty.
Утилиты для публикации результатов выполнения введённых в терминале команд и совместной работы в рамках одной сессии терминала на сервере.
Ещё один неплохой pastebin сервис в коллекцию ссылок:
https://glot.io/
Желающие могут сделать себе такой же, исходники доступны на Github:
https://github.com/prasmussen/glot
#фидбечат #pastebin
https://glot.io/
Желающие могут сделать себе такой же, исходники доступны на Github:
https://github.com/prasmussen/glot
#фидбечат #pastebin
GitHub
GitHub - glotcode/glot: Pastebin with runnable snippets and API
Pastebin with runnable snippets and API. Contribute to glotcode/glot development by creating an account on GitHub.
И вот ещё веб-сервер с функциями защиты от XSS и CSRF атак и SQL инъекций. SSL\TLS, аутентификация, сжатие, URL rewriting, CGI\FastCGI, IPv6 и ещё много того, то должен уметь делать веб-сервер, hiawatha делать умеет.
Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению.
https://github.com/hsleisink/hiawatha
#hiawatha
Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению.
https://github.com/hsleisink/hiawatha
#hiawatha
GitHub
hsleisink/hiawatha
hiawatha - Hiawatha is an open source webserver with security, easy to use and lightweight as the three key features. Hiawatha supports among others (Fast)CGI, IPv6, URL rewriting and reverse proxy...
Записки админа
О недокументированной возможности отключения Intel ME (Management Engine) от ребят из Positive Technologies. http://blog.ptsecurity.ru/2017/08/intel-me-disable.html #security #intel
А теперь ребята готовят вебинар на эту тему. Заявлено бесплатное участие для всех желающих, но требуется предварительная регистрация. Загляните если интересно:
https://www.ptsecurity.com/ru-ru/research/webinar/285539/
#intel
https://www.ptsecurity.com/ru-ru/research/webinar/285539/
#intel
Ptsecurity
Укрощение Intel Management Engine
Укрощение Intel Management Engine - вебинары Positive Technologies
Ну что, друзья, каналу 5 месяцев. Прирост новых участников несколько уменьшился, но этим вопросом я обязательно займусь отдельно. Мы тут в любом случае топим за качество, а не за количество. 🤓 А пока что, традиционный дайджест прошедшего месяца.
В этом месяце мы на канале:
🔐 Шифровали сообщение прямо в терминале:
🔐 https://yangx.top/SysadminNotes/408
🚷 Запрещали доступ к чужим процессам:
🚷 https://yangx.top/SysadminNotes/409
📈 Тестировали диски с помощью fio:
📈 https://yangx.top/SysadminNotes/431
💻 Разбирали утилиты для шаринга терминала:
💻 https://yangx.top/SysadminNotes/476
⏱ Выполняли нагрузочное тестирование с siege:
⏱ https://yangx.top/SysadminNotes/436
🆖 Разбирались с Rate limit в Nginx:
🆖 https://yangx.top/SysadminNotes/464
⚙️ Ставили ModSecurity для Nginx:
⚙️ https://yangx.top/SysadminNotes/468
⚠️ Вспоминали о DDOS Deflate:
⚠️ https://yangx.top/SysadminNotes/466
🔏 Генерировали CAA запись:
🔏 https://yangx.top/SysadminNotes/465
📉 Знакомились с мониторингом sysdig:
📉 https://yangx.top/SysadminNotes/472
🖱Приняли на вооружение Linuxbrew:
🖱https://yangx.top/SysadminNotes/475
И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось.
👨🏻💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост:
https://yangx.top/SysadminNotes/202
Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓
В этом месяце мы на канале:
🔐 Шифровали сообщение прямо в терминале:
🔐 https://yangx.top/SysadminNotes/408
🚷 Запрещали доступ к чужим процессам:
🚷 https://yangx.top/SysadminNotes/409
📈 Тестировали диски с помощью fio:
📈 https://yangx.top/SysadminNotes/431
💻 Разбирали утилиты для шаринга терминала:
💻 https://yangx.top/SysadminNotes/476
⏱ Выполняли нагрузочное тестирование с siege:
⏱ https://yangx.top/SysadminNotes/436
🆖 Разбирались с Rate limit в Nginx:
🆖 https://yangx.top/SysadminNotes/464
⚙️ Ставили ModSecurity для Nginx:
⚙️ https://yangx.top/SysadminNotes/468
⚠️ Вспоминали о DDOS Deflate:
⚠️ https://yangx.top/SysadminNotes/466
🔏 Генерировали CAA запись:
🔏 https://yangx.top/SysadminNotes/465
📉 Знакомились с мониторингом sysdig:
📉 https://yangx.top/SysadminNotes/472
🖱Приняли на вооружение Linuxbrew:
🖱https://yangx.top/SysadminNotes/475
И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось.
👨🏻💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост:
https://yangx.top/SysadminNotes/202
Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓
Начнём месяц с Github'а, пожалуй. Вот, например, занятный репозиторий, созданного на основе Ansible инструмента, который за одну команду (как обещают создатели), превратит сервер на Ubuntu в машину противовеса цензуре.
https://github.com/jlund/streisand/blob/master/README-ru.md
Загляните за утренним (обеденным?) кофейком, возможно проект покажется интересным.
#ansible #security
https://github.com/jlund/streisand/blob/master/README-ru.md
Загляните за утренним (обеденным?) кофейком, возможно проект покажется интересным.
#ansible #security
GitHub
streisand/README-ru.md at master · StreisandEffect/streisand
Streisand sets up a new server running your choice of WireGuard, OpenConnect, OpenSSH, OpenVPN, Shadowsocks, sslh, Stunnel, or a Tor bridge. It also generates custom instructions for all of these s...
И вот ещё немного Github'а. Скрипт для авторматической генерации конфигов веб-сервера из заранее описанного .yml. Поддерживаются Apache и Nginx.
https://github.com/devilbox/vhost-gen
#nginx #apache #vhostgen
https://github.com/devilbox/vhost-gen
#nginx #apache #vhostgen
GitHub
GitHub - devilbox/vhost-gen: Configurable vHost generator for Apache 2.2, Apache 2.4 and Nginx
Configurable vHost generator for Apache 2.2, Apache 2.4 and Nginx - devilbox/vhost-gen
📖 Я думал что таким уже давно никто не занимается, но нет. Потребовалось ограничить рефспам атаку на сайт одного из клиентов. По ситуации появилась соответствующая заметка.
📗 Открыть на сайте
#будничное #nginx #refspam
📗 Открыть на сайте
#будничное #nginx #refspam
t.me
Блокируем referrer spam с Nginx
Заметка по мотивам обращения одного из клиентов. Защищаем домен и отбиваем атаку рефспама с помощью Nginx.