Иногда возникает необходимость проверить права на все директории в пути к определённому файлу. В этом случае на помощь приходит namei:

# namei -l /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css 

f: /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css
dr-xr-xr-x root     root     /
drwxr-xr-x root     root     home
drwx--x--x sysadmin sysadmin sysadmin
drwxr-xr-x sysadmin sysadmin web
drwxr-x--x sysadmin sysadmin sysadmin.pm
drwxr-x--x sysadmin sysadmin public_html
drwxr-xr-x sysadmin sysadmin wp-content
drwxr-xr-x sysadmin sysadmin themes
drwxr-xr-x sysadmin sysadmin f2
drwxr-xr-x sysadmin sysadmin inc
drwxr-xr-x sysadmin sysadmin theme-options
-rw-r--r-- sysadmin sysadmin theme-options.css

#будничное #namei

При работе с tar (с бекапами, например) на сервере, не стоит забывать что у архиватора есть возможность сохранять расширенные атрибуты файлов. Делается это с помощью соответствующих ключей:

# tar --selinux --acls --xattrs -cvf backup.tar /var/www/user/data

# tar --no-acls --no-selinux --no-xattrs -xvf backup.tar

Особенно важно, не забыть об этих параметрах при работе с сервером, где selinux активен.

Аналогичная ситуация и с rsync, там мы так же можем работать с расширенными атрибутами файлов с помощью ключей -A для acl и -X для selinux:

$ rsync -e ssh -aAXHPv /home/user/web [email protected]:/var/www/user/data/

#tar #rsync #selinux

👨🏻‍💻 Много интересного представили разработчики на nginx.conf 2017. Если есть время, то я просто рекомендую пройти по всему плейлисту:
https://goo.gl/pq3VP9

⏱ Если времени нет, то вот видео достойные внимания.

NGINX Unit:
https://goo.gl/GgaTUy
Чуть раньше уже писал о нём. Это сервер приложений, который всё ещё находится на стадии бета теста, но день, когда мы сможем отказаться от зоопарка версий и сборок, например, php-fpm на одном сервере, всё ближе и это хорошо.
https://www.nginx.com/products/nginx-unit/

NGINX Amplify:
https://goo.gl/cQWFgq
Система мониторинга веб-сервера, для NGINX и NGINX Plus. Удобная панель, возможность получить уведомления и рекомендации по увеличению производительности и безопасности площадки.
https://www.nginx.com/products/nginx-amplify/

NGINX Controller:
https://goo.gl/W5t4Rm
Продукт для централизованного мониторинга, управления политиками, и работой платформы из единой панели управления. В первую очередь, конечно же, будет интересен ынтерпрайзу, тем, кто использует в работе NGINX Plus.
https://www.nginx.com/products/nginx-controller/

💾 Так как канал - это, всё же, формат ленты, не лишним будет поднять кое-какие записи по NGINX, опубликованные ранее:

- NGINX. Первая подборка. Презентации, книга с примерами:
https://yangx.top/SysadminNotes/415

- NGINX Cookbook:
https://yangx.top/SysadminNotes/370

Будьте в курсе сами, делитесь постом, рассказывайте о канале. Хороших выходных вам, друзья. 🤓

#nginx #видео

Тут в личные сообщения подкинули занятную ссылку на отчёт о найденных в официальном репозитории pypi проблемных пакетах. Знаю, что среди читателей есть люди, на питоне пишущие. Загляните по ссылке (там есть и подробности, и примеры) если ещё не видели, убедитесь что у вас всё хорошо.

http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Быстро проверить можно так:

pip list --format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)'

#фидбечат #security #pypi #python

Понадобился тут вывод информации о процессоре для FreeBSD.

Нашлось простое рабочее решение:

https://github.com/NanXiao/lscpu

#lscpu #freebsd #openbsd

Далеко не для всех, но что бы не потерялось, оставлю здесь, на канале (всё же я его и как записную книжку использую тоже 🤓)...

Утилита для вывода содержимого памяти при обращении к процессу:

https://github.com/gianlucaborello/ptexplore

#ptexplore

Nginx From Beginner to Pro (2016).

Ещё одна книга. Поделился почти всем, что было из общетематического по этой теме. 🤓 Чуть позже пройдёмся по каким-то углублённым вещам.

#nginx #книга

Меж тем, в веб-сервере Apache была обнаружена уязвимость названная Optionsbleed, которая может проявить себя при обращении к серверу с заголовком OPTIONS. При этом, может произойти утечка произвольного участка памяти, который может содержать какие-либо важные данные. С одной стороны, далеко не все ресурсы оказались уязвимы при проверке, с другой - проблема таки имеет место. Уязвимости присвоен CVE, доступны патчи для исправления, так что обязательно следите за обновлением.

Подробности можно найти по ссылке:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Протестировать можно с помощью утилиты:
https://github.com/hannob/optionsbleed

#security #apache #optionsbleed

Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp.

DO предоставили пользователям специальный скрипт, который выполнит проверку:

https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh

Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.

#security #digitalocean

В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему.

https://debgen.simplylinux.ch/

#фидбечат #debian

Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло
anonymous poll

Идея хорошая, давай попробуем. – 260
👍👍👍👍👍👍👍 93%

Спорная идея, не уверен что это нужно. – 21
👍 7%

👥 281 people voted so far.

На работе, многие серверы у нас бекапятся с помощью r1soft. И вот на днях случилась проблема - после установки всех последних доступных обновлений, модуль ядра для программы-агента этой системы перестал собираться. Ни автоматическая сборка, ни ручная на билд-сервере проблему не решали.

В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:

# cd /lib/modules/r1soft/
# wget -c http://beta.r1soft.com/modules/Centos_7.4/hcpdriver-cki-3.10.0-693.2.2.el7.x86_64.ko
# /etc/init.d/cdp-agent restart

Для RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/

#будничное #r1soft #cdp

Делаем бекап базы на Amazon S3.

#видео #backup #amazon

Тем временем, мой Wordpress прислал уведомление о том, что он обновился до версии 4.8.2. Разработчики закрыли 9 серьёзных проблем безопасности (SQL injection и пачка XSS), так что обязательно обновитесь, если ещё не сделали этого.

Подробности здесь:
https://goo.gl/msR29d

К слову, судя по всему, CVE-2017-8295 разработчики так и не закрыли. При том что первые репорты об уязвимости получили ещё аж в июле 2016.

Подробности уязвимости можно найти здесь:
https://goo.gl/ZKwABg

Если кратко - злоумышленник может сформировать определённый HTTP запрос, содержащий предустановленную переменную hostname и в то же время инициирующий сброс пароля для нужного пользователя. В ходе выполнения атаки, письмо будет отправлено на почту того пользователя, чей пароль сбрасывается, но в полях From и Return-Path уже будет стоять ящик атакующего на проблемном домене.

Если атакующий, при этом, сделает так, что почта пользователя окажется не доступна, то письмо для сброса пароля будет перенаправлено на email злоумышленника. Так же, при ответе пользователем на письмо (Но разве на них кто-то отвечает?), ответ уйдёт злоумышленнику.

Проблема актуальна на серверах с Apache, и так как патчей и исправлений разработчиками представлено не было (они, судя по всему, не считают эту проблему критической), специалисты рекомендуют в конфиге апача использовать опцию UseCanonicalName, которая позволит установить статическое значение SERVER_NAME, что не даст злоумышленнику подменить переменную.

#wordpress #security

Начальный курс по Google Cloud Platform от CBT Nuggets.

#видео #google

Очень маленький командный интерпретатор.

https://github.com/rain-1/s

#shell

https://www.youtube.com/watch?v=8IksUajJZ04

Трансляция от Selectel. Вдруг кому-то будет интересно. 🤓