Size: a a a

Записки админа

2017 July 12
Записки админа
Коротко о том, как можно на VDS от DigitalOcean установить RouterOS. Делается всё одной командой, буквально за пару минут.

📘 Открыть Instant View
📗 Открыть на сайте

#routeros #digitalocean
источник
Записки админа
По результатам общения с подписчиком дополню немного - способ актуален не только для DO. Аналогичным образом удаётся установить и запустить RouterOS на простом VDS с KVM виртуализацией.

#фидбечат
источник
Записки админа
А я до последнего думал что идея "белых списков" покинула головы ответственных, работающих в РКН кадров. Но нет. Эволюционирует ли рекомендация в требование - вопрос интересный, многое определяющий.
источник
2017 July 13
Записки админа
Внезапно обнаружился бот, который якобы позволяет узнать номер телефона человека в Telegram. Достаточно просто переслать ему сообщение того, чей номер необходимо определить... @id2phone_bot

Поспрашивал несколько человек - сказали что бот номер отобразил верно. Моего номера, и номеров нескольких других моих знакомых он не знает. А как у вас обстоят дела?

Смог ли бот определить номер телефона автора пересылаемого ему сообщения?

✅ - Да, определил.
❎ - Нет, не определил.

И это... Аккуратнее там, берегите свои личные данные.
источник
Записки админа
Форвард был прислан одним из пользователей. Сейчас этого сообщения там я не нашёл. Такие дела.
источник
Записки админа
Помните писал о потенциальной уязвимости в systemd, которая появлялась в случаях, когда имя пользователя по какой-то причине начиналось с цифры? Так вот в очередном обновлении systemd эта проблема была закрыта. История продолжилась тем, что проблеме таки был назначен CVE идентификатор, а дистрибутивы стали рассматривать её как уязвимость.

В качестве решения было предложено блокировать загрузку юнитов с некорректными именами пользователей. С некоторыми оговорками Леннарт проблему признал и патч для решения одобрил. Исправление попало в версию systemd 234, которая увидела свет вчера. На Opennet можно заглянуть за подробностями:

https://goo.gl/TbokDH

#systemd
Telegram
Записки админа
Интересная история об ошибке, которую Леннарт Поттеринг ошибкой не счёл и соответствующий баг закрыл.

Было обнаружено, что если любой сервис в системе запустить от пользователя, имя которого начинается с цифры, то процесс будет запущен с правами того UID, который этой цифре соответствует. Что бы было проще для понимания - если кто-то по незнанию, создаст в системе пользователя 0lolosha или 0day, и запустит сервис от его имени (пропишет соответствующее в .service файле), то сервис этот будет запущен с правами root.

Сам Леннарт придерживается позиции, что в Linux имена пользователей, начинающиеся с цифры не корректны в принципе, так что описанное выше поведение - это не ошибка и не уязвимость.

Я в данном случае, остаюсь на стороне тех, кто считает, что проблема имеет место, и разработчикам стоит хотя бы ограничить её воспроизведение. Например, не запускать сервис, а выводить ошибку, если имя пользователя, от которого запускается сервис, начинается с цифры.

Всем заинтересовавшимся, с подробностями рекомендую..
источник
Записки админа
SysadminNotes
Внезапно обнаружился бот, который якобы позволяет узнать номер телефона человека в Telegram. Достаточно просто переслать ему сообщение того, чей номер необходимо определить... @id2phone_bot

Поспрашивал несколько человек - сказали что бот номер отобразил верно. Моего номера, и номеров нескольких других моих знакомых он не знает. А как у вас обстоят дела?

Смог ли бот определить номер телефона автора пересылаемого ему сообщения?

✅ - Да, определил.
❎ - Нет, не определил.

И это... Аккуратнее там, берегите свои личные данные.
Бот более не доступен. Во всяком случае в том виде, в котором работал сегодня. Спасибо всем, кто принял участие в опросе.
источник
2017 July 14
Записки админа
На edX был запущен отличный курс по Kubernetes - системе управления контейнерами. Для тех кому не нужен сертифкат, курс должен быть доступен бесплатно. Подробности по ссылке ниже...

https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x

#kubernetes
источник
Записки админа
Ещё одна заметка и скрипт для парсинга уже другого фотостока. Работает очень просто - указываем ключевик и страницу начала парсинга, получаем список адресов на изображения в отдельном файле. Ну и немного теории о том, как к такому скрипту можно прийти в принципе.

📘 Открыть Instant View
📗 Открыть на сайте

#bash #автоматизация
источник
Записки админа
A мне, меж тем, отгрузили первую партию подарков на день Сисадмина для вас, друзья мои... Устроим розыгрыш среди подписчиков? Кто примет участие - нажмите на пингвина ниже. 🤓
источник
2017 July 15
Записки админа
Быстро проверить открыт ли тот или иной порт можно, например вот так:

$ (echo >/dev/tcp/sysadmin.pm/443) &>/dev/null && echo "Open" || echo "Close"
Open

Конструкцию удобно использовать при написании скриптов.

#будничное
источник
Записки админа
SysadminNotes
Ещё одна заметка и скрипт для парсинга уже другого фотостока. Работает очень просто - указываем ключевик и страницу начала парсинга, получаем список адресов на изображения в отдельном файле. Ну и немного теории о том, как к такому скрипту можно прийти в принципе.

📘 Открыть Instant View
📗 Открыть на сайте

#bash #автоматизация
Попросили скрипты приложить прямо сюда, в канал (любят пользователи Telegram что бы всё под рукой было). Собственно, прикладываю следующими сообщениями...

#фидбечат
источник
Записки админа
Скрипт для автоматизации постинга изображений в Telegram канал.

#bash #автоматизация #telegram
источник
Записки админа
Скрипт для парсинга фотостока stocksnap.io. Результат - список URL изображений по нужному ключевику.

#bash #автоматизация
источник
Записки админа
Скрипт для парсинга фотостока pexels.com. Результат - список URL изображений по нужному ключевику.

#bash #автоматизация
источник
2017 July 16
Записки админа
Наткнулся на интересный мини-проект на гитхабе. Granscan - утилита для диагностики системы. Загляните, может быть сама утилита заинтересует, а может быть какие-то идеи из её реализации окажутся полезными.

https://github.com/adampie/granscan
источник
Записки админа
Оказывается, не все знают о существовании STIGs (Security Technical Implementation Guides) для разных систем и вендоров. Вот здесь, на Github'е можно найти скрипт для проверки Debian 9, который основан на STIG для RHEL 7:

https://github.com/hardenedlinux/STIG-4-Debian

Администраторам, которым вопросы безопасности на серверах действительно критичны, рекомендую к изучению этой темы. О STIGs в принципе можно почитать здесь:

http://iase.disa.mil/stigs/Pages/index.aspx

#security #debian #stig
источник
2017 July 17
Записки админа
Интересная статистика по дистрибутивам, их репозиториям и пакетам...

https://repology.org/statistics/newest
источник
Записки админа
За что можно любить OpenBSD? Да вот хотя бы за это. Тео де Раадт активно работает над KARL - Kernel Address Randomized Link - разработка, в рамках которой, каждый раз при перезагрузке/загрузке компьютера, файлы ядра будут линковаться случайным образом, как следствие, будет генерироваться новое, уникальное ядро, с которым будет загружаться система. Такой подход серьёзно усложняет жизнь злоумышленникам, которые проводят атаки на ядро и, как следствие, повышает общий уровень безопасности в системе.

Отдельно Тео отмечает что не стоит путать ASLR (который давным-давно в OpenBSD был реализован одним из первых, кстати) и KARL - в рамках ASLR ядро не меняется, меняется лишь расположение некоторых его важных структур в адресном пространстве. В KARL же, при каждой перезагрузке система запускается по сути с новым ядром.

Всем заинтересовавшимся рекомендую за подробностями сходить по ссылкам ниже:

Начало: https://goo.gl/Mru7wQ
Продолжение: https://goo.gl/ZHjZBd

#openbsd #karl #kernel
источник
2017 July 18
Записки админа
Потребовалось запретить обычным пользователям сервера доступ к чтению dmesg. Делается это просто, параметром в sysctl.conf:

kernel.dmesg_restrict = 1

После этого, пользователь доступа к dmesg иметь не будет:

$ dmesg
dmesg: read kernel buffer failed: Operation not permitted

К слову, а вы знали что у dmesg есть возможность сделать вывод результатов команды более человекочитаемым?

dmesg -H --color

#будничное #dmesg
источник