Разработчики VestaCP порадовали своих пользователей обновлением панели. Знаю что многие, как и я, этого обновления ждали, так что будем считать его, приятным и полезным новогодним подарком. С обновлением панель получила среди прочего:

- Поддержку работы с Softaculous - системой установки различных CMS в несколько кликов.
- Поддержку Debian 9, Ubuntu 16.10 и 17.04.
- Поддержку Let's Encrypt для IDN доменов.

Проблему безопасности в шаблонах для PHP-FPM так же поправили. IPv6, пока что не завезли, но пообещали сделать это в следующем обновлении.

Подробнее об обновлении по ссылке:

https://vestacp.com/roadmap/

#vestacp

Scout2 - утилита для аудита инстансов и инфраструктуры, построенной на AWS. Ставится с помощью pip:

# pip install awsscout2

Далее, взаимодействуя с API AWS, получает доступ к данным, анализирует их и выдаёт администратору отчёт в удобной форме. Подробнее о скрипте и его отчётах можно узнать по ссылке:

https://nccgroup.github.io/Scout2/

Проект на Github:

https://github.com/nccgroup/Scout2

#aws #amazon #scout2

Просто интересно - в Новый Год будете работать или отдыхать? 🙂

🎄 Друзья, буду краток - восемь месяцев назад, когда я только начинал вести этот канал, я думал что к новому году смогу набрать 500, ну 800 подписчиков. И я искренне рад, что всё сложилось ровно так, как сложилось - нас с вами более 2.5 тысяч человек, на канале опубликовано 600 заметок, а на сайте 100 различных записок и мануалов. И всё это чертовски приятно, признаюсь честно.

Поздравляю вас с Новым Годом, желаю, что бы мечты исполнились, запланированное случилось, а поставленные цели и задачи были выполнены. Ну и здоровья, конечно, без него никуда.

Спасибо что остаётесь на связи, фидбечите, критикуете и подсказываете - это очень важно для меня. Канал на несколько дней уходит в отпуск, но вы не теряйтесь и оставайтесь на связи. В обычный режим работы вернусь очень быстро и, надеюсь, и дальше продолжу радовать вас чем-то интересным. 🙂

🎄И да если происходящее на канале вам нравится, вот здесь можно сделать донейт, и тем самым поддержать автора, поздравить его с праздником и всё вот это вот:

http://donatepay.ru/donation/sysadmin

Всем добра и хорошего настроения в эти дни. ☃️

👾 Нет, ну а что - отлично же год начали, разве нет? Тему уже обсудили во всех тематических и даже околотематических чатах, разобрали на соответствующих ресурсах и в конференциях, так что в очередной раз дублировать информацию не стану. Если кто-то ещё (нет ну вдруг) не в курсе - то были обнародованы данные по двум серьёзным проблемам в процессорах Intel и ARM64.

Много информации по этому поводу собрано и структурировано на OpenNET:
https://www.opennet.ru/opennews/art.shtml?num=47849

Здесь непосредственно об уязвимостях:
https://www.opennet.ru/opennews/art.shtml?num=47856

На Информация опасносте очень неплохо осветили проблему, начиная с этого поста и ниже:
https://yangx.top/alexmakus/1568

Technologique так же прошёлся по вопросу, начиная с этого поста и ниже:
https://yangx.top/technologique/1223

Обозначенные выше посты полны дополнительной информации и ссылок на различные источники, так что если ещё не ознакомились, сделать это стот обязательно. Равно как и установить обновления на сервер, а после не забыть проверить производительность работы с новым ядром. К сожалению, кто-то может быть неприятно удивлён. Если у кого-то на руках будут живые результаты сравнения производительности до и после обновления - пишите, будет интересно посмотреть на них и поделиться со всеми.

P. S. Нашлась тут в загашниках одна картинка... Подправил её немного.

Друзья, если кто-то пользуется сервисом Mailgun, обязательно обратите внимание на сообщение от них:

http://blog.mailgun.com/mailgun-security-incident-and-important-customer-information/

С получением несанкционированного доступа к аккаунту одного из сотрудников, злоумышленником были скомпрометированы пользовательские API ключи. Утверждается, что под угрозой оказались примерно 1% пользователей, и если сервис напрямую не уведомил вас о проблеме, значит с аккаунтом всё хорошо. Рекомендации для пострадавших очевидны в данном случае - сменить API ключи и данные для SMTP доступа.

P. S. С Intel'ом, к счастью, проблема так же решается - браузеры выпустили обновления, разработчики ОС выпустили обновления и даже сам Intel, судя по всему, пообещал выпустить апдейты микрокода для большинства моделей процессоров.

Ещё немного о процессорах и уязвимостях в них, из того, за чем слежу я во всей этой суете...

- В AMD так же нашли дыру в аппаратно изолированном исполняемом окружении:
https://goo.gl/kY2uU3

- Разработчики CloudLinux над проблемой так же активно работают:
https://goo.gl/KcjTH7

- На форуме OpenVZ человеку надоело ждать, он сходил, пропатчил и поделился всем необходимым:
https://goo.gl/hhNW8J

А вообще, принёс вас сегодня занятное - Dynimize, с помощью которого, по заявлению разработчиков, можно серьёзно улучшить производительность сервера БД. В заметке небольшой обзор, ссылки на подробности, графики и тесты. Продукт в бете, скорее всего станет платным, но посмотреть на него интересно.

https://sysadmin.pm/dynimize/

#dynimize #mysql #jit

Альтернативный, и надо заметить, удачный UI для CloudStack. Возьмите на заметку, в случае если с этой платформой работаете или работать планируете.

https://github.com/bwsw/cloudstack-ui

#сloudstack

Камрады, когда вы в последний раз проверяли свои бекапы и убеждались в том, что они целы и работоспособны?

О, спасибо, сходил проверил! – 103
👍👍👍👍👍👍👍 36%

Проверяю раз в месяц. – 88
👍👍👍👍👍👍 31%

Проверяю часто и\или проверяет автоматика. – 76
👍👍👍👍👍 27%

Проверяю раз в неделю. – 17
👍 6%

👥 284 people voted so far.

Ни дня без новости об уязвимостях в процессорах. Вот здесь OVH собирает информацию о популярных ОС и о готовности патчей для них. Возможно кому-то будет интересно последить за процессом:

https://docs.ovh.com/fr/dedicated/meltdown-spectre-kernel-update-per-operating-system/

#security #spectre #meltdown

А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.

📗 https://sysadmin.pm/block-tor-iptables-csf/

#iptables #ipset #csf

На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет.

Тред на HN:
https://news.ycombinator.com/item?id=16112894

status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241

OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882

#security #ssl #letsencrypt

ModSecurity 3 Nginx quick start guide.

Куда более подробный разбор модсека для Nginx, чем делал я. Обязательно познакомьтесь с книгой, если вопрос настройки WAF для вас важен.

#книга #waf #nginx

И вот ещё небольшая заметка об установке grsecurity ядра в Debian с помощью специального скрипта.

📗 https://sysadmin.pm/debian-grsecurity/

#debian #grsecurity

На неделе прислали пару занятных фидбеков. 🙂

Первый - стрелялка, написана на bash, запускается в консоли и поддерживет режим для двух игроков. https://github.com/vaniacer/piu-piu-SH

#фидбечат

Второй - книга о готовке для гиков от OReilly.

Cooking for Geeks Real Science.

Забирайте, если интересно, возможно, что-то новое для себя узнаете. 🙂

#фидбечат #книга

К слову, история получила продолжение.

https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5

Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:

- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.

Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:

https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188

А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:

https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207

Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.

#letsencrypt #certbot #security

Начали год с уязвимостей, так и продолжаем, они, судя по всему, стали уже неотъемлимой частью этого канала.

В Glibc обнаружена уязвимость, используя которую злоумышленник может повысить свои привилегии в системе. Подробности доступны по ссылкам:

https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/

http://www.openwall.com/lists/oss-security/2018/01/11/5

Обязательно проследите за выпуском обновлений для вашего дистрибутива.

#security #glibc