Для случаев, когда нужно быстро состряпать валидный SSL сертификат, а тащить что-то на сервер нет желания, возможности, или времени, можно воспользоваться, например, таким вот генератором:

https://www.sslforfree.com/

#ssl

Меж тем, CentOS обновилась...

https://lists.centos.org/pipermail/centos-announce/2017-September/022532.html

Не забудьте выбрать время и установить апдейты. 🤓

#centos

✏️ Коротка заметка о переносе файлов сервера БД в нестандартную директорию, и настройка Selinux'а для этого.

📗 Открыть на сайте

#будничное #mariadb #selinux

Тулкит для проверки безопасности Amazon S3.

https://github.com/ankane/s3tk

# pip install s3tk
# s3tk scan

#security #amazon

Иногда возникает необходимость проверить права на все директории в пути к определённому файлу. В этом случае на помощь приходит namei:

# namei -l /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css 

f: /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css
dr-xr-xr-x root     root     /
drwxr-xr-x root     root     home
drwx--x--x sysadmin sysadmin sysadmin
drwxr-xr-x sysadmin sysadmin web
drwxr-x--x sysadmin sysadmin sysadmin.pm
drwxr-x--x sysadmin sysadmin public_html
drwxr-xr-x sysadmin sysadmin wp-content
drwxr-xr-x sysadmin sysadmin themes
drwxr-xr-x sysadmin sysadmin f2
drwxr-xr-x sysadmin sysadmin inc
drwxr-xr-x sysadmin sysadmin theme-options
-rw-r--r-- sysadmin sysadmin theme-options.css

#будничное #namei

При работе с tar (с бекапами, например) на сервере, не стоит забывать что у архиватора есть возможность сохранять расширенные атрибуты файлов. Делается это с помощью соответствующих ключей:

# tar --selinux --acls --xattrs -cvf backup.tar /var/www/user/data

# tar --no-acls --no-selinux --no-xattrs -xvf backup.tar

Особенно важно, не забыть об этих параметрах при работе с сервером, где selinux активен.

Аналогичная ситуация и с rsync, там мы так же можем работать с расширенными атрибутами файлов с помощью ключей -A для acl и -X для selinux:

$ rsync -e ssh -aAXHPv /home/user/web [email protected]:/var/www/user/data/

#tar #rsync #selinux

👨🏻‍💻 Много интересного представили разработчики на nginx.conf 2017. Если есть время, то я просто рекомендую пройти по всему плейлисту:
https://goo.gl/pq3VP9

⏱ Если времени нет, то вот видео достойные внимания.

NGINX Unit:
https://goo.gl/GgaTUy
Чуть раньше уже писал о нём. Это сервер приложений, который всё ещё находится на стадии бета теста, но день, когда мы сможем отказаться от зоопарка версий и сборок, например, php-fpm на одном сервере, всё ближе и это хорошо.
https://www.nginx.com/products/nginx-unit/

NGINX Amplify:
https://goo.gl/cQWFgq
Система мониторинга веб-сервера, для NGINX и NGINX Plus. Удобная панель, возможность получить уведомления и рекомендации по увеличению производительности и безопасности площадки.
https://www.nginx.com/products/nginx-amplify/

NGINX Controller:
https://goo.gl/W5t4Rm
Продукт для централизованного мониторинга, управления политиками, и работой платформы из единой панели управления. В первую очередь, конечно же, будет интересен ынтерпрайзу, тем, кто использует в работе NGINX Plus.
https://www.nginx.com/products/nginx-controller/

💾 Так как канал - это, всё же, формат ленты, не лишним будет поднять кое-какие записи по NGINX, опубликованные ранее:

- NGINX. Первая подборка. Презентации, книга с примерами:
https://yangx.top/SysadminNotes/415

- NGINX Cookbook:
https://yangx.top/SysadminNotes/370

Будьте в курсе сами, делитесь постом, рассказывайте о канале. Хороших выходных вам, друзья. 🤓

#nginx #видео

Тут в личные сообщения подкинули занятную ссылку на отчёт о найденных в официальном репозитории pypi проблемных пакетах. Знаю, что среди читателей есть люди, на питоне пишущие. Загляните по ссылке (там есть и подробности, и примеры) если ещё не видели, убедитесь что у вас всё хорошо.

http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Быстро проверить можно так:

pip list --format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)'

#фидбечат #security #pypi #python

Понадобился тут вывод информации о процессоре для FreeBSD.

Нашлось простое рабочее решение:

https://github.com/NanXiao/lscpu

#lscpu #freebsd #openbsd

Далеко не для всех, но что бы не потерялось, оставлю здесь, на канале (всё же я его и как записную книжку использую тоже 🤓)...

Утилита для вывода содержимого памяти при обращении к процессу:

https://github.com/gianlucaborello/ptexplore

#ptexplore

Nginx From Beginner to Pro (2016).

Ещё одна книга. Поделился почти всем, что было из общетематического по этой теме. 🤓 Чуть позже пройдёмся по каким-то углублённым вещам.

#nginx #книга

Меж тем, в веб-сервере Apache была обнаружена уязвимость названная Optionsbleed, которая может проявить себя при обращении к серверу с заголовком OPTIONS. При этом, может произойти утечка произвольного участка памяти, который может содержать какие-либо важные данные. С одной стороны, далеко не все ресурсы оказались уязвимы при проверке, с другой - проблема таки имеет место. Уязвимости присвоен CVE, доступны патчи для исправления, так что обязательно следите за обновлением.

Подробности можно найти по ссылке:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Протестировать можно с помощью утилиты:
https://github.com/hannob/optionsbleed

#security #apache #optionsbleed

Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp.

DO предоставили пользователям специальный скрипт, который выполнит проверку:

https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh

Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.

#security #digitalocean

В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему.

https://debgen.simplylinux.ch/

#фидбечат #debian

Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло
anonymous poll

Идея хорошая, давай попробуем. – 260
👍👍👍👍👍👍👍 93%

Спорная идея, не уверен что это нужно. – 21
👍 7%

👥 281 people voted so far.

На работе, многие серверы у нас бекапятся с помощью r1soft. И вот на днях случилась проблема - после установки всех последних доступных обновлений, модуль ядра для программы-агента этой системы перестал собираться. Ни автоматическая сборка, ни ручная на билд-сервере проблему не решали.

В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:

# cd /lib/modules/r1soft/
# wget -c http://beta.r1soft.com/modules/Centos_7.4/hcpdriver-cki-3.10.0-693.2.2.el7.x86_64.ko
# /etc/init.d/cdp-agent restart

Для RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/

#будничное #r1soft #cdp

Делаем бекап базы на Amazon S3.

#видео #backup #amazon