Сегодня немного о том, что делать, если с сервера идёт атака на сторонние сайты. Вот так можно быстро найти того, чьи скрипты генерируют исходящую с сервера атаку на админ-панели Wordpress:

# iptables -I OUTPUT -p tcp -m tcp -m string --string "wp-login.php" --algo kmp --dport 80 -j LOG --log-prefix "Outgoing attack: " --log-level 4 --log-uid

Разумеется, вместо wp-login.php можно отлавливать любое другое вхождение. Подробнее об этом в очередной заметке.

#будничное #iptables

Ещё одна хорошая книга на русском языке, которая находится в свободном доступе. Русский перевод цикла статей «systemd for Administrators». https://goo.gl/WCzRR9

#systemd #книга

Firewalld — брандмауэр, с поддержкой динамического управления правилами и концепцией работы с сетевыми зонами. Появился по умолчанию в CentOS 7. В виду некоторых причин, многие администраторы предпочитают старый-добрый iptables и ставят на сервер именно его.

Стоит ли использовать firewalld в работе уже сейчас? Всё зависит от задач, которые стоят перед администратором. Если ничего сложнее открытия\закрытия доступа для порта или сервиса не потребуется, то на firewalld имеет смысл обратить внимание. Однако, если на сервере использутся какие-то более сложные правила, то пока что стоит остаться на iptables и продолжать использовать его.

О том как работать с firewalld, какие у него перспективы, что он умеет уже сейчас, а для чего лучше выбрать iptables, можно прочитать в этой заметке.

Сам я firewalld у себя на личных серверах использую достаточно давно, однако в работе (на серверах для хостинга, или нодах для виртуалок, например) предпочитаю оставлять iptables и работать с ним.

#firewalld #systemd

В книге рассматриваются вопросы работы с сетевыми сервисам таким как веб сервер, сервер БД, DNS, прокси, Samba и т. п. Местами книга устаревает, но начинающим админам пролистать её стоит.

#книга

Все уже видели новость? Вместе с апдейтами для Windows анонсирована возможность установки в систему виртуальных машин с Ubuntu, SUSE и Fedora. Установку можно будет выполнить прямо из Windows Store.

Сегодняшняя заметка о том, как можно легко контролировать соединения со всех виртуальных серверов на KVM ноде. Рассматриваю ситуацию, в которой потребовалось заблокировать трафик на 25 порт для всех VPS и разрешить только нескольким использовать эту возможность.

С помощью iptables такое делается достаточно просто:

# iptables -I FORWARD -o vmbr0 -p tcp --dport 25 -j DROP
# iptables -I FORWARD -o vmbr0 -p tcp -s 11.12.13.14 --dport 25 -j ACCEPT

В заметке доступны подробности, примеры команд и результаты их выполнения, так что с ней лучше познакомиться на сайте.

В процессе обсуждения атаки шифровальщика, в одном из чатов зашёл разговор о переходе на Linux. Я предпочитаю использовать Fedora на десктопе, однако начинающим всё же рекомендую обратить внимание на Ubuntu, причём на её LTS релиз. Отлчиным пособием для старта будет прикреплённая ниже небольшая книга. Описание процесса установки, знакомство с рабочим окружением, установкой пакетов и т. п. Минимум консоли, все основные действия выполняются из графического интерфейса. Тем кто только знакомится с Linux, тем кто очень хотел попробовать, но всё время откладывал "потому что этот ваш Линукс - это страшная консоль", книга рекомендуется к изучению.

Уточнил у своего провайдера по поводу IPv6 - сказали что выдать не могут, и пока что запускать поддержку не планируют. В мире с IPv6 дела обстоят примерно вот так.

#ipv6

Настроен ли IPv6 у вас дома, у домашнего провайдера?
anonymous poll

Нет, IPv6 не использую. – 45
👍👍👍👍👍👍👍 96%

Да, использую IPv6 дома. – 2
▫️ 4%

👥 47 people voted so far.

За время работы админом, сформировалась собственная небольшая инфраструктура из нескольких серверов. Среди этих серверов есть такие, на которых задачи по обновлению можно автоматизировать. Но ставить на автомате абсолютно все обновления не безопасно. С помощью утилиты yum-cron администратор может выбрать, обновления какого типа будут установлены автоматически. Например, на своих площадках, там где это допустимо, я настроил автоустановку обновлений безопасности, а все остальные обновления ставлю в ручную по мере возможности. Небольшая заметка по быстрой настройке yum-cron на сайте.

#будничное #yum #centos

Если во время попытки получить доступ к ISPmanager 5 мы этого не можем сделать из-за вот такой вот ошибки:

"Доступ к панели заблокирован администратором. Возможно панель в данный момент обновляется"

И если при этом, мы точно ничего не обновляем, то стоит проверить лог панели, скорее всего там будет вот такая строка:

May 14 22:30:02 [25962:1] core ERROR ispmgr locked. If you think that is error remove file tmp/ispmgr.lock

Так что просто удаляем файл /usr/local/mgr5/tmp/ispmgr.lock и пробуем получить доступ к панели вновь.

#будничное #ispmanager

Человеческая лень порой творит чудеса. Смотрите, вжух...

for book in `wget -qO- http://www.oreilly.com/webops/free/ | cat | grep -o "http://.*csp" | sed -e 's|/free/|/free/files/|g; s|.csp|.pdf|g;'`; do wget $book; done;

... и у меня для вас есть 31 достойная внимания бесплатная мини-книга (скорее это мини-доклады) от O'Reilly для DevOps\WebOps специалистов. Если ещё не видели их раньше, выберите время для ознакомления.

P. S. Здесь для sed используются вертикальные разделители, такое может сработать не везде, так что если вы решите поробовать эту команду, а sed будет отдавать ошибку, используйте стандартный разделитель и экранируйте слеш в нужном месте.

#книга #oreilly #devops

Неофициальный репозиторий последних доступных публично версий патчей от проекта Grsecurity. Возможно среди подписчиков есть люди, которые с этим проектом работали ранее, и которых новость об отказе от публичного предоставления исходников удручила так же как и меня.

https://github.com/minipli/linux-unofficial_grsec

#grsecurity

К обсуждаемым по всему рунету проблемам с потенциальной блокировкой Telegram и законе о блокиовке на территории Украины ряда российских ресурсов, людям которые занимаются хостингом, добавилась ещё одна головная боль. Хостеры и владельцы серверов пытаются добиться от mail.ru ответов на вопросы о блокировке входящей почты с некоторых IP адресов. Если кратко, то с недавнего времени, некоторые хостеры и просто владельцы серверов при попытке отправить почту на серверы mail.ru могут получить примерно такой отлуп:

550 Try again later (1.2.3.4). Please contact [email protected].

К сожалению, при обращении в поддержку, получить оперативный ответ удаётся далеко не всегда. Кому-то просто говорят что разблокировка не возможна - так попал один клиент на работе, и надо сказать что он не спамер, но некоторое время назад несколько сайтов у него были взломаны и с них была выполнена рассылка. С кем-то диалог слабо, но выстраивается. Те кому удаётся, смогли прояснить, что основные претензии mail.ru связаны с большим количеством спама и/или большим количеством писем, нарушающих политику DMARC доменов mail.ru с указанного IP.

Похоже что mail.ru надоело текущее положение дел, и кто-то решил немного закрутить гайки. Печально что при этом, под удар попали как простые клиенты, так и хостеры, к которым теперь клиенты идут с жалобами на недоставленную почту.

#нужнобольшеблокировок

В связи с последней проблемой блокировки писем от некоторых IP, возникли вопросы как быстро эту блокировку обойти. Самый простой вариант здесь - попробовать отправить почту с дополнительного IP на сервере. На примере Exim всё будет выглядеть так... Открываем конфиг exim.conf и находим там строки:

remote_smtp:
driver = smtp

Дописываем к ним параметр interface, и указываем для него наш дополнительный IP, который уже поднят на сервере:

remote_smtp:
driver = smtp
interface = 1.2.3.4

Сохраняем конфиг exim'а, перезапускаем его и отправляем тестовое письмо. В заголовках письма должен остаться прописанный нами IP адрес.

#будничное #exim

Ещё одна тематическая подборка бесплатных книг от O'Reilly. В подборке затрагиваются вопросы безопасности систем. Полистайте при возможности. Может быть найдёте для себя что-то интересное.

#книга #oreilly #security