Давненько не было каких-то коротких bash скриптов или однострочников. Пожалуй, верну эту тему и кое-что продолжу записывать сюда.

Вот, например, однострочник для просмотра сетевой статистики в реальном времени:

/usr/bin/watch -d -n1 --no-title 'netstat -s | grep "\ \ \ [0-9]" | sort -rn'

#будничное #netstat #watch

Проект, за которым стоит последить тем, кто работает с Kubernetes.

Tarmak - набор инструментов для управления кластером Kubernetes, который включает в себя такие вещи как Packer, Docker, Puppet, Terraform, systemd. Фокус разработки сделан на управлении кластерами и обеспечении их безопасности. Сам продукт ещё в глубокой альфе, так что на прод его тащить конечно же не стоит, но присмотреться к нему определённо нужно.

Презентовали Tarmak на PuppetConf 2017, соответствующее видео прикладываю:

https://youtu.be/ThbcHUj70EA?t=1350

Сам Tarmak на Github и документация по нему:

https://docs.tarmak.io/en/latest/

https://github.com/jetstack/tarmak

#kubernetes #tarmak

Nload - удобная утилита для визуализации и мониторинга активности сетевых подключений на сервере. В большинстве дистрибутивов ставится из репозиториев.

#будничное #nload

📕 Продолжим о goss. Несколько слов о dgoss утилите и тестировании контейнеров с её помощью.

📗 Открыть на сайте

#будничное #goss #dgoss

Друзья, у Wordpress вышло обновление безопасности, где была закрыта потенциальная возможность SQL инъекции на сайте. Обязательно обновитесь, если используете эту CMS.

https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/

#wordpress

Ну что, друзья, каналу исполнилось пол года. Октябрь выдался далеко не самым продуктивным месяцем, но что ж поделать, отдыхать иногда тоже нужно. Редакция канала, в лице вашего покорного слуги продолжает работать и радовать вас различными полезностями, а пока что - дайджест (в этот раз короткий) того что было на канале за этот месяц:

👨🏻‍💻 Отбиваем рефспам атаку на сайт с помощью Nginx.
https://yangx.top/SysadminNotes/483

🔗 Настраиваем защиту от симлинк атаки на сервер.
https://yangx.top/SysadminNotes/501

📝 Разбираемся с goss и dgoss, утилитами для проверки конфигурации.
https://yangx.top/SysadminNotes/504
https://yangx.top/SysadminNotes/516

А ещё на канале была опубликована информация о том как можно быстро создать свои шпаргалки прямо в терминале, несколько скриптов для автоматической настройки VPN сервера, очень полезная для сисадмина книга и много интересного прямиком с Github'а. Полистайте ленту обязательно.

Спасибо всем, кто подписан, остаётся на связи, фидбечит и проявляет участие в жизни канала. Замечено, что у подписчиков, пригласивших на канал своих друзей и коллег, серверы падают примерно в три раза реже, а клиенты становятся раз в пять лояльнее, так что... Вы знаете что делать. 🤓

Тот редкий случай, когда сам я предложенную к ознакомлению утилиту ещё не тестировал. Если опробуете, ну или если уже используете её в работе, найдите пару минут и поделитесь мнением, а мы всем каналом будем вам благодарны.

Arp-validator - утилита для определения arp poisoning атак в сети. Умеет запускаться как демон, вести свой лог и слать уведомления, будучи запущенной на десктопе.

https://github.com/rnehra01/arp-validator

#security #arp

А вот ещё большая подборка примеров использования правил в .htaccess для разных ситуаций. В репозитории есть в том числе и русская версия.

https://github.com/phanan/htaccess

#будничное #htaccess

Астрологи объявили месяц Гитхаба. Количество полезностей оттуда увеличилось...

Вот, например, innodb_ruby - утилита для парсинга ibdata1 файлов InnoDB. Полезно для изучения структуры или для дебага, например.

Ставим как обычный ruby gem:

# gem install innodb_ruby

И запускаем, указав путь до файла и выбрав нужный режим:

# innodb_space -s /var/lib/mysql/ibdata1 system-spaces

Режим system-spaces покажет структуру файла и кое-какую статистику. О режимах и примерах запуска можно почитать в wiki проекта:

https://github.com/jeremycole/innodb_ruby/wiki

#mysql #mariadb #innodb

Субботняя #пикча

⏱ И несколько слов о простых (очень простых) утилитах для быстрого теста системы и сервера. Бывает полезно, например, при сравнении двух разных площадок, при выборе размещения проекта.

Скорее всего, такая заметка выйдет не одна.

📗 Открыть на сайте

#будничное #bench #unixbench

netutils-linux - это набор утилит для мониторинга и тюнинга сети. Человек проделал большую работу, как по мне, и представил несколько наиполезнейших инструментов. Рерайтить его же статью не вижу смысла, так что просто отправлю вас по соответствующей ссылке:

https://habrahabr.ru/post/331720/

Сам набор утилит доступен на Github:

https://github.com/strizhechenko/netutils-linux

Устанавливается с помощью pip:

# pip install netutils-linux

#фидбечат #напочитать #network

🕵🏼 Новость для владельцев серверов с панелью VestaCP. Обнаружилась и оказалась в паблике уязвимость, с помощью которой злоумышленник может доставить администратору сервера много проблем. Подробности и примеры в заметке.

📗 Открыть на сайте

#vestacp #security

Написал мне один мой товарищ, и попросил посмотреть, почему его скрипт, работающий везде, некорректно отработал на одной конкретной машине. Начал смотреть, и обнаружилось вот что - в одной из функций, использовалась конструкция вида:

dd if=/dev/urandom of=$file bs=1024K count=10 2>&1 | grep copied

Скрипт без проблем отрабатывал на машинах с англоязычными версиями систем, но при запуске на русскоязычной версии, которая каким-то образом оказалась на сервере, эта конструкция не отрабатывала - grep не выдавал никаких результатов, ведь вывод dd осуществлялся на русском языке.

# dd if=/dev/urandom of=file bs=1024K count=1 2>&1
1+0 записей получено
1+0 записей отправлено
 скопировано 1048576 байт (1,0 MB), 0,00954741 c, 110 MB/c

Решилось всё банальным добавлением LANG=C перед запуском dd:

# LANG=C dd if=/dev/urandom of=file bs=1024K count=1 2>&1 | grep copied
1048576 bytes (1.0 MB) copied, 0.00934529 s, 112 MB/s

Ну а товарищ ушёл думать, как этот момент оптимизировать. Такое вот скриптописательство.

#будничное #dd #bash

А вот ещё занятный твит о найденной уязвимости - https://twitter.com/ewindisch/status/926443182010916865 Только ознакомьтесь безотносительно личности, взглядов и всего вот этого вот, что может начаться при прочтении ленты. Тем кто не хочет ходить в твиттер, принесу сюда:

docker run --rm -it alpine sh -c 'echo "scsi remove-single-device 0 0 0 0">/proc/scsi/scsi'

Не запускайте это на проде, только на тестовой, не нужной площадке, если очень захочется.

Подробности можно так же получить по ссылкам:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16539
https://github.com/moby/moby/pull/35399

#security #docker

Меж тем, тут стрим идёт, трансляция главного зала конференции HighLoad++ 2017. Берём печеньки, чаёчек, надеваем наушники...

https://www.youtube.com/watch?v=BlDK2KKKYc8

#фидбечат #highload #видео

Второй день HighLoad++ 2017, основной зал. Со стартом трансляции немного запаздывают, видимо (на самом деле нет, уже начали). Собираются здесь:

https://www.youtube.com/watch?v=Ygfwwd490mk

"The only thing that would have been nice is that after the project had been finished and the chip deployed, that someone from Intel would have told me, just as a courtesy, that MINIX 3 was now probably the most widely used operating system in the world on x86 computers."

Написал Танненбаум в своём открытом письме к Intel, после того как информация о том, что MINIX 3 оказался в Intel ME-11 стала доступна публично. И ведь Intel действительно могли бы отдать должное профессору, с учётом того, что инженеры компании в своё время обращались к Танненбауму с большим количеством вопросов и просьбами о внесении изменений в MINIX 3. Само письмо, если ещё не читали его, можно найти здесь:

http://www.cs.vu.nl/~ast/intel/

По самой ситуации - полноценная ОС, которая умеет работать с сетью, файловыми системами, несёт в себе комплект драйверов и встроенный веб сервер (дожили), работает в Ring -3, и может сделать с ПК всё что угодно, оставаясь не доступной для вляния со стороны владельца компьютера. Ну разве это не пизд^Wпрекрасно?

По Intel ME не так давно много материала было выдано специалистами из Positive Technologies. Я публиковал эти ссылки, но продублирую их ниже:

http://blog.ptsecurity.com/2017/08/disabling-intel-me.html

https://youtu.be/PiUd2v4bejM

https://habrahabr.ru/company/pt/blog/336242/

Кроме того, вот вам (следующим сообщением) занятная презентация о UEFI, Intel ME, о том, что же там в Ring -3 происходит, и что с этим планируют сделать.

В интересное время живём.

#естьмнение #intel

К посту https://yangx.top/SysadminNotes/532

#intel

В OVH у кого-то сегодня выдался очень замороченный денёк...

https://twitter.com/olesovhcom/status/928521489426632705

sysadmin.pm пока что, к сожалению, так же не доступен. Жду когда ситуация будет исправлена, желаю им удачи, ну и закрываю тему с Highload++ вот этим плейлистом с конференции 2016 года:

https://www.youtube.com/playlist?list=PLiBYz3OQubLryzLMpCrSZ7rS87sxo5ZO_

#видео #highload