Ни дня без новости об уязвимостях в процессорах. Вот здесь OVH собирает информацию о популярных ОС и о готовности патчей для них. Возможно кому-то будет интересно последить за процессом:

https://docs.ovh.com/fr/dedicated/meltdown-spectre-kernel-update-per-operating-system/

#security #spectre #meltdown

А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.

📗 https://sysadmin.pm/block-tor-iptables-csf/

#iptables #ipset #csf

На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет.

Тред на HN:
https://news.ycombinator.com/item?id=16112894

status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241

OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882

#security #ssl #letsencrypt

ModSecurity 3 Nginx quick start guide.

Куда более подробный разбор модсека для Nginx, чем делал я. Обязательно познакомьтесь с книгой, если вопрос настройки WAF для вас важен.

#книга #waf #nginx

И вот ещё небольшая заметка об установке grsecurity ядра в Debian с помощью специального скрипта.

📗 https://sysadmin.pm/debian-grsecurity/

#debian #grsecurity

На неделе прислали пару занятных фидбеков. 🙂

Первый - стрелялка, написана на bash, запускается в консоли и поддерживет режим для двух игроков. https://github.com/vaniacer/piu-piu-SH

#фидбечат

Второй - книга о готовке для гиков от OReilly.

Cooking for Geeks Real Science.

Забирайте, если интересно, возможно, что-то новое для себя узнаете. 🙂

#фидбечат #книга

К слову, история получила продолжение.

https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5

Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:

- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.

Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:

https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188

А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:

https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207

Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.

#letsencrypt #certbot #security

Начали год с уязвимостей, так и продолжаем, они, судя по всему, стали уже неотъемлимой частью этого канала.

В Glibc обнаружена уязвимость, используя которую злоумышленник может повысить свои привилегии в системе. Подробности доступны по ссылкам:

https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/

http://www.openwall.com/lists/oss-security/2018/01/11/5

Обязательно проследите за выпуском обновлений для вашего дистрибутива.

#security #glibc

Вчера поставили задачку - увеличить производительность OpenVPN сервера. Как следствие, появилась заметка об увеличении буфера, с разбором, почему для повышения скорости работы нужно его увеличить.

📗 Открыть на сайте

#openvpn

👨🏻‍💻 GoAccess.

Смотрим на анализатор логов GoAccess. Из приятного - работает прямо в терминале, умеет обрабатывать информацию из пайплайна, работает с логом в реальном времени, обрабатывает несколько логов одновременно и имеет ещё несколько приятных функций.

📗 Открыть на сайте

#goaccess #logs

🐳 DigitalOcean.

DigitalOcean снизил цены и пересмотрел некоторые свои тарифы. Ценник всё ещё выше чем в среднем по рынку, но для всех, кому нужно срочно и быстро мощный сервер на пол часика потестировать что-то, и для всех кому просто бложек разместить на достаточно надёжной платформе, всё стало ещё вкуснее. Сам я с DO работаю достаточно давно, впечатления от работы положительные.

Вот вам рефералочка, на случай если решите попробовать:
https://m.do.co/c/f5fc7b0a963d

#digitalocean

📚 Книги.

А ещё, обнаружился занятный ресурс, на котором бесплатно, без регистрации и смс, для загрузки доступны книги по программированию, разработке, администрированию и т. п.:

http://goalkicker.com

Материал подготовлен ребятами из Stack Overflow Documentation, выглядит относительно свежим, вёрстка приятная, читается легко. Загляните обязательно, думаю что-то полезное для себя найдёте.

#книга

В коллекцию ссылок, вдруг кого-то так же заинтересует:

http://www.makelinux.net/kernel_map/

Это интерактивная карта Linux ядра. Что с чем связано, что к чему относится и всё вот это вот.

#kernel

💻 Bashdb.

Bashdb - дебаггер для bash скриптов. Задачка по дебагу оных не часто встречается, но если столкнулись с ней, на bashdb стоит обратить внимание.

#фидбечат #bash #bashdb

Тот случай, когда ты пост написал, подготовил его для канала, опубликовал... А ссылку поставить забыл... И понял это только через полтора часа... 🤦🏻‍♂️

О Bashdb заметка здесь: https://sysadmin.pm/bashdb/

Всем хороших выходных, камрады, что бы без вот таких вот мелких упущений. 🙂

#фидбечат #bash #bashdb

📧 Между делом сообщают - IP Google в очередной раз оказался в листинге SORBS, и к сожалению, те почтовые серверы, которые этот dnsbl используют у себя, часть почты от Gmail могут отфильтровать. Проблема, скорее всего, временная, затрагивет далеко не всех. Случается такое уже не в первый раз, и решится, я думаю, быстро.

Владельцы почтовых серверов, которые с эффектом от листинга уже столкнулись, могут добавить IP Google в белый список. IP можно взять здесь:

https://support.google.com/a/answer/27642?hl=en

#фидбечат #sorbs #google

📑 Snoopy.

Несколько слов о snoopy - библиотеке, с помощью которой мы можем писать в syslog все выполненные на сервере команды. Пишется и сама команда, и аргументы, что порой, при анализе, бывает очень нужно и удобно.

📗 Открыть на сайте

#snoopy #logs

Друзья, в CentOS Web Panel v0.9.8.12, обнаружена удалённая SQL Injection уязвимость. Если кто-то этой панелью пользуется, будьте в курсе происходящего.

Подробности здесь:
https://vulners.com/vulnerlab/VULNERLAB:1833

И здесь:
https://www.vulnerability-lab.com/get_content.php?id=1833

И вот вам ещё пара ссылок на другие уязвимости в этой панели:

https://www.vulnerability-lab.com/get_content.php?id=1835

https://www.vulnerability-lab.com/get_content.php?id=1836

#centoswebpanel #security #centos

Сегодня будет немного Github'а, друзья. Для начала - несколько странная на мой взгляд разработка, о которой мне рассказали в одном из фидбеков:

https://github.com/Bash-it/bash-it

Bash-it - этакий фреймворк, содержащий в себе уже готовые автодополнения, алиасы и написанные функции, которые призваны облегчить жизнь системному администратору. Если решите попробовать, то обязательно сделайте бекап ~/.bash_profile и ~/.bashrc файлов перед установкой.

Возможно, кому-то подобный фреймворк консольные будни действительно облегчит, но например у меня за годы использования Linux на сервере и десктопе сформировался уже собственный список алисов, с которым, по ощущениям, работать куда удобнее чем вот с таким, готовым решением от энтузиастов.

#фидбечат #bash