Друзья, если кто-то пользуется сервисом Mailgun, обязательно обратите внимание на сообщение от них:

http://blog.mailgun.com/mailgun-security-incident-and-important-customer-information/

С получением несанкционированного доступа к аккаунту одного из сотрудников, злоумышленником были скомпрометированы пользовательские API ключи. Утверждается, что под угрозой оказались примерно 1% пользователей, и если сервис напрямую не уведомил вас о проблеме, значит с аккаунтом всё хорошо. Рекомендации для пострадавших очевидны в данном случае - сменить API ключи и данные для SMTP доступа.

P. S. С Intel'ом, к счастью, проблема так же решается - браузеры выпустили обновления, разработчики ОС выпустили обновления и даже сам Intel, судя по всему, пообещал выпустить апдейты микрокода для большинства моделей процессоров.

Ещё немного о процессорах и уязвимостях в них, из того, за чем слежу я во всей этой суете...

- В AMD так же нашли дыру в аппаратно изолированном исполняемом окружении:
https://goo.gl/kY2uU3

- Разработчики CloudLinux над проблемой так же активно работают:
https://goo.gl/KcjTH7

- На форуме OpenVZ человеку надоело ждать, он сходил, пропатчил и поделился всем необходимым:
https://goo.gl/hhNW8J

А вообще, принёс вас сегодня занятное - Dynimize, с помощью которого, по заявлению разработчиков, можно серьёзно улучшить производительность сервера БД. В заметке небольшой обзор, ссылки на подробности, графики и тесты. Продукт в бете, скорее всего станет платным, но посмотреть на него интересно.

https://sysadmin.pm/dynimize/

#dynimize #mysql #jit

Альтернативный, и надо заметить, удачный UI для CloudStack. Возьмите на заметку, в случае если с этой платформой работаете или работать планируете.

https://github.com/bwsw/cloudstack-ui

#сloudstack

Камрады, когда вы в последний раз проверяли свои бекапы и убеждались в том, что они целы и работоспособны?

О, спасибо, сходил проверил! – 103
👍👍👍👍👍👍👍 36%

Проверяю раз в месяц. – 88
👍👍👍👍👍👍 31%

Проверяю часто и\или проверяет автоматика. – 76
👍👍👍👍👍 27%

Проверяю раз в неделю. – 17
👍 6%

👥 284 people voted so far.

Ни дня без новости об уязвимостях в процессорах. Вот здесь OVH собирает информацию о популярных ОС и о готовности патчей для них. Возможно кому-то будет интересно последить за процессом:

https://docs.ovh.com/fr/dedicated/meltdown-spectre-kernel-update-per-operating-system/

#security #spectre #meltdown

А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.

📗 https://sysadmin.pm/block-tor-iptables-csf/

#iptables #ipset #csf

На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет.

Тред на HN:
https://news.ycombinator.com/item?id=16112894

status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241

OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882

#security #ssl #letsencrypt

ModSecurity 3 Nginx quick start guide.

Куда более подробный разбор модсека для Nginx, чем делал я. Обязательно познакомьтесь с книгой, если вопрос настройки WAF для вас важен.

#книга #waf #nginx

И вот ещё небольшая заметка об установке grsecurity ядра в Debian с помощью специального скрипта.

📗 https://sysadmin.pm/debian-grsecurity/

#debian #grsecurity

На неделе прислали пару занятных фидбеков. 🙂

Первый - стрелялка, написана на bash, запускается в консоли и поддерживет режим для двух игроков. https://github.com/vaniacer/piu-piu-SH

#фидбечат

Второй - книга о готовке для гиков от OReilly.

Cooking for Geeks Real Science.

Забирайте, если интересно, возможно, что-то новое для себя узнаете. 🙂

#фидбечат #книга

К слову, история получила продолжение.

https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5

Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:

- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.

Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:

https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188

А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:

https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207

Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.

#letsencrypt #certbot #security

Начали год с уязвимостей, так и продолжаем, они, судя по всему, стали уже неотъемлимой частью этого канала.

В Glibc обнаружена уязвимость, используя которую злоумышленник может повысить свои привилегии в системе. Подробности доступны по ссылкам:

https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/

http://www.openwall.com/lists/oss-security/2018/01/11/5

Обязательно проследите за выпуском обновлений для вашего дистрибутива.

#security #glibc

Вчера поставили задачку - увеличить производительность OpenVPN сервера. Как следствие, появилась заметка об увеличении буфера, с разбором, почему для повышения скорости работы нужно его увеличить.

📗 Открыть на сайте

#openvpn

👨🏻‍💻 GoAccess.

Смотрим на анализатор логов GoAccess. Из приятного - работает прямо в терминале, умеет обрабатывать информацию из пайплайна, работает с логом в реальном времени, обрабатывает несколько логов одновременно и имеет ещё несколько приятных функций.

📗 Открыть на сайте

#goaccess #logs

🐳 DigitalOcean.

DigitalOcean снизил цены и пересмотрел некоторые свои тарифы. Ценник всё ещё выше чем в среднем по рынку, но для всех, кому нужно срочно и быстро мощный сервер на пол часика потестировать что-то, и для всех кому просто бложек разместить на достаточно надёжной платформе, всё стало ещё вкуснее. Сам я с DO работаю достаточно давно, впечатления от работы положительные.

Вот вам рефералочка, на случай если решите попробовать:
https://m.do.co/c/f5fc7b0a963d

#digitalocean

📚 Книги.

А ещё, обнаружился занятный ресурс, на котором бесплатно, без регистрации и смс, для загрузки доступны книги по программированию, разработке, администрированию и т. п.:

http://goalkicker.com

Материал подготовлен ребятами из Stack Overflow Documentation, выглядит относительно свежим, вёрстка приятная, читается легко. Загляните обязательно, думаю что-то полезное для себя найдёте.

#книга

В коллекцию ссылок, вдруг кого-то так же заинтересует:

http://www.makelinux.net/kernel_map/

Это интерактивная карта Linux ядра. Что с чем связано, что к чему относится и всё вот это вот.

#kernel

💻 Bashdb.

Bashdb - дебаггер для bash скриптов. Задачка по дебагу оных не часто встречается, но если столкнулись с ней, на bashdb стоит обратить внимание.

#фидбечат #bash #bashdb