Size: a a a

Записки админа

2017 September 16
Записки админа
👨🏻‍💻 Много интересного представили разработчики на nginx.conf 2017. Если есть время, то я просто рекомендую пройти по всему плейлисту:
https://goo.gl/pq3VP9

⏱ Если времени нет, то вот видео достойные внимания.

NGINX Unit:
https://goo.gl/GgaTUy
Чуть раньше уже писал о нём. Это сервер приложений, который всё ещё находится на стадии бета теста, но день, когда мы сможем отказаться от зоопарка версий и сборок, например, php-fpm на одном сервере, всё ближе и это хорошо.
https://www.nginx.com/products/nginx-unit/

NGINX Amplify:
https://goo.gl/cQWFgq
Система мониторинга веб-сервера, для NGINX и NGINX Plus. Удобная панель, возможность получить уведомления и рекомендации по увеличению производительности и безопасности площадки.
https://www.nginx.com/products/nginx-amplify/

NGINX Controller:
https://goo.gl/W5t4Rm
Продукт для централизованного мониторинга, управления политиками, и работой платформы из единой панели управления. В первую очередь, конечно же, будет интересен ынтерпрайзу, тем, кто использует в работе NGINX Plus.
https://www.nginx.com/products/nginx-controller/

💾 Так как канал - это, всё же, формат ленты, не лишним будет поднять кое-какие записи по NGINX, опубликованные ранее:

- NGINX. Первая подборка. Презентации, книга с примерами:
https://t.me/SysadminNotes/415

- NGINX Cookbook:
https://t.me/SysadminNotes/370

Будьте в курсе сами, делитесь постом, рассказывайте о канале. Хороших выходных вам, друзья. 🤓

#nginx #видео
источник
Записки админа
Тут в личные сообщения подкинули занятную ссылку на отчёт о найденных в официальном репозитории pypi проблемных пакетах. Знаю, что среди читателей есть люди, на питоне пишущие. Загляните по ссылке (там есть и подробности, и примеры) если ещё не видели, убедитесь что у вас всё хорошо.

http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Быстро проверить можно так:

pip list --format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)'

#фидбечат #security #pypi #python
источник
2017 September 17
Записки админа
Понадобился тут вывод информации о процессоре для FreeBSD.

Нашлось простое рабочее решение:

https://github.com/NanXiao/lscpu

#lscpu #freebsd #openbsd
источник
Записки админа
Далеко не для всех, но что бы не потерялось, оставлю здесь, на канале (всё же я его и как записную книжку использую тоже 🤓)...

Утилита для вывода содержимого памяти при обращении к процессу:

https://github.com/gianlucaborello/ptexplore

#ptexplore
источник
2017 September 18
Записки админа
Nginx From Beginner to Pro (2016).

Ещё одна книга. Поделился почти всем, что было из общетематического по этой теме. 🤓 Чуть позже пройдёмся по каким-то углублённым вещам.

#nginx #книга
источник
Записки админа
Меж тем, в веб-сервере Apache была обнаружена уязвимость названная Optionsbleed, которая может проявить себя при обращении к серверу с заголовком OPTIONS. При этом, может произойти утечка произвольного участка памяти, который может содержать какие-либо важные данные. С одной стороны, далеко не все ресурсы оказались уязвимы при проверке, с другой - проблема таки имеет место. Уязвимости присвоен CVE, доступны патчи для исправления, так что обязательно следите за обновлением.

Подробности можно найти по ссылке:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Протестировать можно с помощью утилиты:
https://github.com/hannob/optionsbleed

#security #apache #optionsbleed
источник
2017 September 19
Записки админа
источник
Записки админа
Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp.

DO предоставили пользователям специальный скрипт, который выполнит проверку:

https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh

Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить.

#security #digitalocean
источник
Записки админа
В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему.

https://debgen.simplylinux.ch/

#фидбечат #debian
источник
Записки админа
Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло#напочитать для таких ссыло
anonymous poll

Идея хорошая, давай попробуем. – 260
👍👍👍👍👍👍👍 93%

Спорная идея, не уверен что это нужно. – 21
👍 7%

👥 281 people voted so far.
источник
2017 September 20
Записки админа
На работе, многие серверы у нас бекапятся с помощью r1soft. И вот на днях случилась проблема - после установки всех последних доступных обновлений, модуль ядра для программы-агента этой системы перестал собираться. Ни автоматическая сборка, ни ручная на билд-сервере проблему не решали.

В процессе решения выяснилось, что некоторые ядра, которые уже пришли в стабильных обновлениях систем, всё ещё находятся в стадии beta самого r1soft. В итоге, для последнего ядра CentOS 7, всё решилось скачиванием нужного модуля с их сайта:

# cd /lib/modules/r1soft/
# wget -c http://beta.r1soft.com/modules/Centos_7.4/hcpdriver-cki-3.10.0-693.2.2.el7.x86_64.ko
# /etc/init.d/cdp-agent restart

Для RHEL проблема решается аналогично, но модуль брать здесь http://beta.r1soft.com/modules/RHEL_7.4/

#будничное #r1soft #cdp
источник
Записки админа
Делаем бекап базы на Amazon S3.

#видео #backup #amazon
источник
Записки админа
Тем временем, мой Wordpress прислал уведомление о том, что он обновился до версии 4.8.2. Разработчики закрыли 9 серьёзных проблем безопасности (SQL injection и пачка XSS), так что обязательно обновитесь, если ещё не сделали этого.

Подробности здесь:
https://goo.gl/msR29d

К слову, судя по всему, CVE-2017-8295 разработчики так и не закрыли. При том что первые репорты об уязвимости получили ещё аж в июле 2016.

Подробности уязвимости можно найти здесь:
https://goo.gl/ZKwABg

Если кратко - злоумышленник может сформировать определённый HTTP запрос, содержащий предустановленную переменную hostname и в то же время инициирующий сброс пароля для нужного пользователя. В ходе выполнения атаки, письмо будет отправлено на почту того пользователя, чей пароль сбрасывается, но в полях From и Return-Path уже будет стоять ящик атакующего на проблемном домене.

Если атакующий, при этом, сделает так, что почта пользователя окажется не доступна, то письмо для сброса пароля будет перенаправлено на email злоумышленника. Так же, при ответе пользователем на письмо (Но разве на них кто-то отвечает?), ответ уйдёт злоумышленнику.

Проблема актуальна на серверах с Apache, и так как патчей и исправлений разработчиками представлено не было (они, судя по всему, не считают эту проблему критической), специалисты рекомендуют в конфиге апача использовать опцию UseCanonicalName, которая позволит установить статическое значение SERVER_NAME, что не даст злоумышленнику подменить переменную.

#wordpress #security
источник
2017 September 21
Записки админа
Начальный курс по Google Cloud Platform от CBT Nuggets.

#видео #google
источник
Записки админа
Очень маленький командный интерпретатор.

https://github.com/rain-1/s

#shell
источник
Записки админа
https://www.youtube.com/watch?v=8IksUajJZ04

Трансляция от Selectel. Вдруг кому-то будет интересно. 🤓
источник
2017 September 22
Записки админа
👨🏼‍💻 Заметка о настройке rate limit в Nginx. Небольшой разбор настройки ограничений и создание белого списка для них.

📗 Открыть на сайте

#будничное #nginx
источник
2017 September 23
Записки админа
🏷 Пара слов о том, что такое CAA запись, для чего она нужна, как её правильно использовать для защиты своего домена и сайта, и как её можно быстро сгенерировать с помощью https://sslmate.com/caa/

📗 Открыть на сайте

#будничное #ssl #dns #caa

А вы уже прописали CAA для своих доменов?

✅ - Да, CAA уже использую.
❎ - Нет, CAA не использую.
источник
2017 September 24
Записки админа
💭 Помогая одному товарищу, пришлось оперативно вспомнить старый добрый DDOS Deflate и его использование. Собственно, заметка по работе с этим скриптом прилагается.

📗 Открыть на сайте

#будничное #ddos
источник
2017 September 25
Записки админа
#пикча
источник