⚙️ Taipan.
А вот ещё один сканер уязвимостей для сайтов и веб-приложений. Использовать можно и на Windows, и на Linux (требуется mono):
https://github.com/taipan-scanner/Taipan/
#security #будничное
А вот ещё один сканер уязвимостей для сайтов и веб-приложений. Использовать можно и на Windows, и на Linux (требуется mono):
https://github.com/taipan-scanner/Taipan/
$ mono Taipan.exe -u https://sysadmin.pm/ -p Full#security #будничное
GitHub
GitHub - enkomio/Taipan: Web application vulnerability scanner
Web application vulnerability scanner. Contribute to enkomio/Taipan development by creating an account on GitHub.
March 14, 2018
📔 Поиск контактов.
Похоже что следующие пару дней я проведу в бегах и разной суете, так что продолжаем собирать разные занятные ссылки на сервисы и инструменты.
Вот например, попытка создать утилиту, которая по имени домена поможет найти все возможные контакты для связи с владельцем сайта. Первостепенно, конечно, она рассчитана на людей, которые занимаются поиском уязвимостей на ресурсах, а затем, сообщают о них администраторам.
https://github.com/EdOverflow/contact.sh
#security #bash
Похоже что следующие пару дней я проведу в бегах и разной суете, так что продолжаем собирать разные занятные ссылки на сервисы и инструменты.
Вот например, попытка создать утилиту, которая по имени домена поможет найти все возможные контакты для связи с владельцем сайта. Первостепенно, конечно, она рассчитана на людей, которые занимаются поиском уязвимостей на ресурсах, а затем, сообщают о них администраторам.
https://github.com/EdOverflow/contact.sh
#security #bash
GitHub
GitHub - EdOverflow/contact.sh: An OSINT tool to find contacts in order to report security vulnerabilities.
An OSINT tool to find contacts in order to report security vulnerabilities. - GitHub - EdOverflow/contact.sh: An OSINT tool to find contacts in order to report security vulnerabilities.
March 15, 2018
💿 Сайт, на котором прямо из браузера можно запустить дистрибутив Linux, познакомиться с ним, потыкать его и всё вот это вот...
distrotest.net
distrotest.net
March 15, 2018
📺 MikroTik User Meeting.
Оно, конечно, скорее для сетевиков, но всё же. Прямая трансляция MUM прямо из Питера.
Как обычно, если есть время, берём чаёк, печеньки, смотрим.
https://www.youtube.com/watch?v=fJkO89R5L-Q
#mikrotik #видео
Оно, конечно, скорее для сетевиков, но всё же. Прямая трансляция MUM прямо из Питера.
Как обычно, если есть время, берём чаёк, печеньки, смотрим.
https://www.youtube.com/watch?v=fJkO89R5L-Q
#mikrotik #видео
YouTube
MUM in Russia LIVE stream!
Live stream from Russia (St. Petersburg)https://mum.mikrotik.com
March 16, 2018
Субботний кубик-рубик прямо в теримнале. А почему бы и нет, собственно? 🤓
git clone https://github.com/cheertarts/nrubik.git
cd nrubik
chmod +x nrubik
#game #terminal
git clone https://github.com/cheertarts/nrubik.git
cd nrubik
chmod +x nrubik
#game #terminal
March 17, 2018
🔍 Быстрая проверка системы на уязвимость к Spectre и Meltdown:
# curl -L https://meltdown.ovh -o s-m-checker.sh
# chmod +x s-m-checker.sh
# ./s-m-checker.sh
#security
# curl -L https://meltdown.ovh -o s-m-checker.sh
# chmod +x s-m-checker.sh
# ./s-m-checker.sh
#security
March 18, 2018
🔓 Тестирование SSL.
И вот ещё, в коллекцию ссылок - ресурс с примерами некорректно настроенного сертификата:
https://badssl.com/
#security #ssl
И вот ещё, в коллекцию ссылок - ресурс с примерами некорректно настроенного сертификата:
https://badssl.com/
#security #ssl
March 18, 2018
March 20, 2018
🤦🏻♂️ Очередное навалили тут.
Это цитата из нового, предложенного к принятию, проекта правок в закон. Особое внимание здесь, хочется уделить слову "обязан". Т. е. если правки будут приняты, то каждый владелец сайта обязан будет разместить свои данные на ресурсе. Пока что, речь идёт о той части, где закон "защищает авторские права", но есть мнение (и не у меня одного), что скорее всего, если правки будут приняты, то через какое-то время, под раздачу в итоге всё равно попадут все сайты и их владельцы.
В данный момент, обсуждение закона заканчивается, но возможность высказаться сегодня ещё есть, и было бы здорово, если бы это кто-то сделал. Уточнил бы, как такая публикация данных соотносится с 152-ФЗ. Намекнул бы на то, что регистрация (как минимум в ru и su, коль скоро мы об РФ) подразумевает верификацию владельца домена, и что до того как другим законом whois не был прикрыт наглухо, информацию о владельце можно было получить там. Ну или, например, попытался спросить, а как будет проверяться корректность оставленных на сайте данных. А может быть ещё какие-то вопросы и комментарии бы оставил...
Есть мнение (исключительно моё, не пытаюсь навязать и всё вот это вот), что предложенные правки не несут ничего хорошего и полезного, при этом, будучи принятыми, они добавят головной боли и владельцам сайтов, и хостерам, которые сайты размещают. Если и у вас, камрады, есть что сказать на этот счёт, и есть немного свободного времени, загляните по ссылке, авторизуйтесь и выскажитесь:
http://regulation.gov.ru/Projects#npa=78461
Сам проект, чуть выше этого сообщения прикрепляю отдельным файлом.
#естьмнение
"Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе (для владельца сайта в сети «Интернет», являющегося юридическим лицом), о фамилии, имени, отчестве (при наличии) и адресе (для владельца сайта в сети «Интернет», являющегося физическим лицом), а также адресе электронной почты, в том числе для направления заявления..."
Это цитата из нового, предложенного к принятию, проекта правок в закон. Особое внимание здесь, хочется уделить слову "обязан". Т. е. если правки будут приняты, то каждый владелец сайта обязан будет разместить свои данные на ресурсе. Пока что, речь идёт о той части, где закон "защищает авторские права", но есть мнение (и не у меня одного), что скорее всего, если правки будут приняты, то через какое-то время, под раздачу в итоге всё равно попадут все сайты и их владельцы.
В данный момент, обсуждение закона заканчивается, но возможность высказаться сегодня ещё есть, и было бы здорово, если бы это кто-то сделал. Уточнил бы, как такая публикация данных соотносится с 152-ФЗ. Намекнул бы на то, что регистрация (как минимум в ru и su, коль скоро мы об РФ) подразумевает верификацию владельца домена, и что до того как другим законом whois не был прикрыт наглухо, информацию о владельце можно было получить там. Ну или, например, попытался спросить, а как будет проверяться корректность оставленных на сайте данных. А может быть ещё какие-то вопросы и комментарии бы оставил...
Есть мнение (исключительно моё, не пытаюсь навязать и всё вот это вот), что предложенные правки не несут ничего хорошего и полезного, при этом, будучи принятыми, они добавят головной боли и владельцам сайтов, и хостерам, которые сайты размещают. Если и у вас, камрады, есть что сказать на этот счёт, и есть немного свободного времени, загляните по ссылке, авторизуйтесь и выскажитесь:
http://regulation.gov.ru/Projects#npa=78461
Сам проект, чуть выше этого сообщения прикрепляю отдельным файлом.
#естьмнение
regulation.gov.ru
Нормативные правовые акты - Официальный сайт для размещения информации о подготовке нормативных правовых актов и результатах их…
Официальный сайт для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения
March 20, 2018
О ФСБ и Telegram вам обязательно расскажут в СМИ и на других каналах. Шума сейчас будет много.
Я же, просто подниму свой старый пост со ссылками на инструкции.
🔐 Настройка собственного VPN сервера:
https://sysadmin.pm/openvpn/
https://sysadmin.pm/openvpn-speed/
🔏 Настройка собственного proxy сервера:
https://sysadmin.pm/3proxy/
🔒 Настройка SSH тунеля без заморочек:
https://sysadmin.pm/sshuttle/
Там OpenVPN, 3proxy и Sshuttle. Ну и в принципе по тому же OpenVPN было достаточно интересного - и автоустановщики, и настройка на увеличение скорости. Обязательно этот хештег посмотрите - #openvpn
Повода для паники не вижу (во всяком случае для аудитории этого канала), но готовым нужно быть ко всему. 😉
Я же, просто подниму свой старый пост со ссылками на инструкции.
🔐 Настройка собственного VPN сервера:
https://sysadmin.pm/openvpn/
https://sysadmin.pm/openvpn-speed/
🔏 Настройка собственного proxy сервера:
https://sysadmin.pm/3proxy/
🔒 Настройка SSH тунеля без заморочек:
https://sysadmin.pm/sshuttle/
Там OpenVPN, 3proxy и Sshuttle. Ну и в принципе по тому же OpenVPN было достаточно интересного - и автоустановщики, и настройка на увеличение скорости. Обязательно этот хештег посмотрите - #openvpn
Повода для паники не вижу (во всяком случае для аудитории этого канала), но готовым нужно быть ко всему. 😉
Записки админа
Openvpn - Записки админа
Это страница, на которой собраны все полезные для прочтения материалы, связанные с настройкой OpenVPN сервера. OpenVPN Fedora Server — статья о настройке VPN на дистрибутиве Fedora. После того, как CentOS превратился в Stream, а EPEL иногда перестал успевать…
March 20, 2018
🖥 Goto для терминала.
Рассказываю о goto - очень простой, и удобной утилите для терминала, которая позволяет настроить алиасы разных директорий. Типичный юзкейс у меня - пачка пользователей, у них пачка доменов; путь до директории к каждому домену запоминать совсем не обязательно, достаточно просто ввести что-то вроде:
И переход сразу же выполняется в нужную директорию с файлами сайта. Подробнее об утилите в соответствующей заметке:
📗 https://sysadmin.pm/goto-shell/
#будничное #goto #bash
Рассказываю о goto - очень простой, и удобной утилите для терминала, которая позволяет настроить алиасы разных директорий. Типичный юзкейс у меня - пачка пользователей, у них пачка доменов; путь до директории к каждому домену запоминать совсем не обязательно, достаточно просто ввести что-то вроде:
# goto supersite_comИ переход сразу же выполняется в нужную директорию с файлами сайта. Подробнее об утилите в соответствующей заметке:
📗 https://sysadmin.pm/goto-shell/
#будничное #goto #bash
Записки админа
Goto для терминала - Записки админа
Консольная утилита goto создана для удобного управления алиасами директорий при работе в терминале.
March 21, 2018
🖥 Работа в командной строке.
Крутая компиляция полезностей, которые нужно знать при работе в командной строке. Материал очень неплохой, доступен в том числе и на русском языке.
https://github.com/jlevy/the-art-of-command-line/blob/master/README-ru.md
#будничное #bash #shell
Крутая компиляция полезностей, которые нужно знать при работе в командной строке. Материал очень неплохой, доступен в том числе и на русском языке.
https://github.com/jlevy/the-art-of-command-line/blob/master/README-ru.md
#будничное #bash #shell
GitHub
the-art-of-command-line/README-ru.md at master · jlevy/the-art-of-command-line
Master the command line, in one page. Contribute to jlevy/the-art-of-command-line development by creating an account on GitHub.
March 23, 2018
📝 Chkservice.
Занятная утилита для работы с systemd юнитами. Умеет управлять их включением, выключением и перезапуском.
Надеюсь что девушка проект не забросит и продолжит его развивать (там сейчас очень не хватает поиска, например). Посмотреть как оно выглядит и почитать о том как поставить (встанет только на современные ОС, не на "стабильные", к сожалению) можно в соответствующей заметке:
📗 https://sysadmin.pm/chkservice/
#systemd #chkservice
Занятная утилита для работы с systemd юнитами. Умеет управлять их включением, выключением и перезапуском.
Надеюсь что девушка проект не забросит и продолжит его развивать (там сейчас очень не хватает поиска, например). Посмотреть как оно выглядит и почитать о том как поставить (встанет только на современные ОС, не на "стабильные", к сожалению) можно в соответствующей заметке:
📗 https://sysadmin.pm/chkservice/
#systemd #chkservice
Записки админа
chkservice - Записки админа
Chkservice - утилита для удобного управления юнитами systemd. На данный момент, имеется возможность включения, выключения, запуска и остановки нужного юнита.
March 25, 2018
⛴ А ещё, вот вам cli утилита для управления (и мониторинга, как заявлено) Docker'ом из терминала.
https://github.com/moncho/dry
#docker #dry
https://github.com/moncho/dry
#docker #dry
March 25, 2018
📶 Друзья, впереди у меня кое-какая поездка, и скорее всего на канале на несколько дней случится затишье. Не теряйте, как только сделаю все дела, работа канала вернётся в своё обычное русло. 🤓
🆙 Обновление инструкции по настройке OpenVPN.
Между делом переработал и актуализировал статью по установке и настройке OpenVPN сервера. Теперь там есть информация и для CentOS 6, и для CentOS 7, учтено что easy-rsa в EPEL был заменён, добавлена настройка для firewalld и т. п. В конфиге теперь сразу же прописаны большие буферы, для ускорения работы соединения.
Стало чуть сложнее, но гораздо информативнее.
https://sysadmin.pm/openvpn/
#openvpn #будничное
🆙 Обновление инструкции по настройке OpenVPN.
Между делом переработал и актуализировал статью по установке и настройке OpenVPN сервера. Теперь там есть информация и для CentOS 6, и для CentOS 7, учтено что easy-rsa в EPEL был заменён, добавлена настройка для firewalld и т. п. В конфиге теперь сразу же прописаны большие буферы, для ускорения работы соединения.
Стало чуть сложнее, но гораздо информативнее.
https://sysadmin.pm/openvpn/
#openvpn #будничное
Записки админа
Openvpn - Записки админа
Это страница, на которой собраны все полезные для прочтения материалы, связанные с настройкой OpenVPN сервера. OpenVPN Fedora Server — статья о настройке VPN на дистрибутиве Fedora. После того, как CentOS превратился в Stream, а EPEL иногда перестал успевать…
March 27, 2018
☔️ Дайджест за март.
Вернулся таки. С завтрашнего дня продолжим работу в обычном режиме. А пока что, вот вам сводный пост мартовской работы канала. В прошлом месяце мы с вами...
🔅 Настраивали PUSH уведомления в Nginx
🔅 Посмотрели скрипт массовой оптимизации изображений
🔅 Понакомились с утилитой для релокации ПО
🔅 Делали простые A\B тесты с помощью Nginx
🔅 Оптимизировали работу в терминале с помощью goto
🔅 Быстро посмотрели на новую утилиту для управления systemd юнитами
👨🏻💻 А ещё в марте можно было почитать о FAI, попробовать выполнить конкурсное задание для сисадминов от Worldskills; на канале были полезные ссылки на разные сайты и сервисы; и как обычно, стоит пройтись по тегам #видео, #nginx, #security - по ним как всегда были занятные материалы. Отдельно проверьте #pluralsight, там я описывал способ получения доступа к их курсам бесплатно.
Добро пожаловать всем пришедшим за последние дни, спасибо всем кто остаётся на связи. Продолжаем работать дальше. 🤓
☕️ Желающие угостить автора кофе, как всегда могут сделать это здесь.
P. S. Друзья, у меня висит дюжина неотвеченных чатов, и ещё примерно стольким же я отвечал, и пообещал связаться в течение пары дней. Про всех помню, всем напишу и отвечу, как только всё у себя тут разгребу.
Вернулся таки. С завтрашнего дня продолжим работу в обычном режиме. А пока что, вот вам сводный пост мартовской работы канала. В прошлом месяце мы с вами...
🔅 Настраивали PUSH уведомления в Nginx
🔅 Посмотрели скрипт массовой оптимизации изображений
🔅 Понакомились с утилитой для релокации ПО
🔅 Делали простые A\B тесты с помощью Nginx
🔅 Оптимизировали работу в терминале с помощью goto
🔅 Быстро посмотрели на новую утилиту для управления systemd юнитами
👨🏻💻 А ещё в марте можно было почитать о FAI, попробовать выполнить конкурсное задание для сисадминов от Worldskills; на канале были полезные ссылки на разные сайты и сервисы; и как обычно, стоит пройтись по тегам #видео, #nginx, #security - по ним как всегда были занятные материалы. Отдельно проверьте #pluralsight, там я описывал способ получения доступа к их курсам бесплатно.
Добро пожаловать всем пришедшим за последние дни, спасибо всем кто остаётся на связи. Продолжаем работать дальше. 🤓
☕️ Желающие угостить автора кофе, как всегда могут сделать это здесь.
P. S. Друзья, у меня висит дюжина неотвеченных чатов, и ещё примерно стольким же я отвечал, и пообещал связаться в течение пары дней. Про всех помню, всем напишу и отвечу, как только всё у себя тут разгребу.
April 2, 2018
🆖 Nginx NAXSI WAF.
ModSecurity для Nginx мы уже готовили ранее, теперь пришла пора приготовить и NAXSI.
Условия те же - переустанавливать Nginx не нужно, подключать сторонние репозитории тоже. Собираем модуль отдельно и подключаем его в работу с уже установленной и запущенной версией Nginx.
Инструкция о том как это сделать, и как потом протестировать WAF как обычно - на сайте...
📗 https://sysadmin.pm/nginx-naxsi/
#будничное #nginx #naxsi
ModSecurity для Nginx мы уже готовили ранее, теперь пришла пора приготовить и NAXSI.
Условия те же - переустанавливать Nginx не нужно, подключать сторонние репозитории тоже. Собираем модуль отдельно и подключаем его в работу с уже установленной и запущенной версией Nginx.
Инструкция о том как это сделать, и как потом протестировать WAF как обычно - на сайте...
📗 https://sysadmin.pm/nginx-naxsi/
#будничное #nginx #naxsi
Записки админа
Nginx NAXSI WAF - Записки админа
Собираем и запускаем в работу модуль Nginx NAXSI Web Application Firewall. Установку выполняем на уже запущенный в работу веб-сервер, без пересборки всего Nginx полностью.
April 3, 2018
ℹ️ Уязвимость в beep.
Да, тут обнаружилась возможность локального повышения привелегий с помощью beep. И сообщение не от 1 апреля.
Не так что бы очень страшно, но в цепочке, при попытке взлома, может быть использовано. Так что обязательно обновитесь, если ещё не сделали этого. Подробности по ссылке ниже...
https://www.debian.org/security/2018/dsa-4163
#security #beep
Да, тут обнаружилась возможность локального повышения привелегий с помощью beep. И сообщение не от 1 апреля.
Не так что бы очень страшно, но в цепочке, при попытке взлома, может быть использовано. Так что обязательно обновитесь, если ещё не сделали этого. Подробности по ссылке ниже...
https://www.debian.org/security/2018/dsa-4163
#security #beep
April 4, 2018
🆖 Nginx ipscrub.
И по горячим следам кейса одного из обратившихся - модуль Nginx, который вместо IP адреса в лог записывает хеш. Для случаев, когда логи и их обработка нужна, а IP пользователей (например, в силу идеологических причин) записывать не хочется.
📗 https://sysadmin.pm/nginx-ipscrub/
#nginx #security #ipscrub
И по горячим следам кейса одного из обратившихся - модуль Nginx, который вместо IP адреса в лог записывает хеш. Для случаев, когда логи и их обработка нужна, а IP пользователей (например, в силу идеологических причин) записывать не хочется.
📗 https://sysadmin.pm/nginx-ipscrub/
#nginx #security #ipscrub
Заметки сисадмина
ipscrub Nginx - Заметки сисадмина
ipscrub - модуль для Nginx, который позволяет не записывать IP адрес пользователя в лог доступа веб-сервера. Вместо IP, логируется специальный хеш.
April 4, 2018
DevOps Moscow meetup. Прямо сейчас, по ссылке...
https://m.youtube.com/watch?v=e5CQjAEwPJE
Доставайте чаёк и печеньки, присоединяйтесь. 😉
#видео #devops
https://m.youtube.com/watch?v=e5CQjAEwPJE
Доставайте чаёк и печеньки, присоединяйтесь. 😉
#видео #devops
YouTube
DevOps Moscow meetup: DevOps vs SRE
4 апреля, после долгого перерыва, мы возобновляем встречи сообщества DevOps Moscow! На первой встрече, которая пройдет в офисе Ingram Micro Cloud, мы погрузи...
April 4, 2018
Поиск небрежно оставленных важных данных на Github репозиториях.
https://github.com/UnkL4b/GitMiner
Берегите свои данные. Не забывайте корректно настраивать исключения и удалять лишнее.
#github
https://github.com/UnkL4b/GitMiner
Берегите свои данные. Не забывайте корректно настраивать исключения и удалять лишнее.
#github
April 6, 2018