Записки админа

Периодически у меня в закладках оказываются разного рода околотематические ссылки на различные статьи разных изданий и блогов. В большинстве своём, на статьи на английском. И материал там не для начинающих. Запустим новый хештег #напочитать для таких ссыло anonymous poll Идея хорошая, давай попробуем. – 260 👍👍👍👍👍👍👍 93% Спорная идея, не уверен что это нужно. – 21 👍 7% 👥 281 people voted so far.

В коллекцию ссылок. Сайт для генерации sources.list в Debian. Позволяет указать нужное зеркало, нужную версию, сразу же выбрать нужные дополнительные репозитории с необходимым ПО, и сгенерировать файл, который остаётся просто скопировать себе в систему. https://debgen.simplylinux.ch/ #фидбечат #debian

Есть ли у нас пользователи Digitalocean? Похоже что у них внезапно вскрылась проблема с быстрой установкой инстансов с MySQL, в которых сохранялся дефолтный пароль технического пользователя. Проблеме могут быть подвержены 1-click установки с mysql\phpmyadmin, wordpress, owncloud, lamp\lemp. DO предоставили пользователям специальный скрипт, который выполнит проверку: https://raw.githubusercontent.com/digitalocean/debian-sys-maint-roll-passwd/master/fix.sh Для новых установок проблема уже не актуальна, но уже запущенные в работу серверы стоит проверить. #security #digitalocean

Меж тем, в веб-сервере Apache была обнаружена уязвимость названная Optionsbleed, которая может проявить себя при обращении к серверу с заголовком OPTIONS. При этом, может произойти утечка произвольного участка памяти, который может содержать какие-либо важные данные. С одной стороны, далеко не все ресурсы оказались уязвимы при проверке, с другой - проблема таки имеет место. Уязвимости присвоен CVE, доступны патчи для исправления, так что обязательно следите за обновлением. Подробности можно найти по ссылке: https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html Протестировать можно с помощью утилиты: https://github.com/hannob/optionsbleed #security #apache #optionsbleed

Далеко не для всех, но что бы не потерялось, оставлю здесь, на канале (всё же я его и как записную книжку использую тоже 🤓)... Утилита для вывода содержимого памяти при обращении к процессу: https://github.com/gianlucaborello/ptexplore #ptexplore

Понадобился тут вывод информации о процессоре для FreeBSD. Нашлось простое рабочее решение: https://github.com/NanXiao/lscpu #lscpu #freebsd #openbsd

Тут в личные сообщения подкинули занятную ссылку на отчёт о найденных в официальном репозитории pypi проблемных пакетах. Знаю, что среди читателей есть люди, на питоне пишущие. Загляните по ссылке (там есть и подробности, и примеры) если ещё не видели, убедитесь что у вас всё хорошо. http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/ Быстро проверить можно так: pip list --format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)' #фидбечат #security #pypi #python

👨🏻‍💻 Много интересного представили разработчики на nginx.conf 2017. Если есть время, то я просто рекомендую пройти по всему плейлисту: https://goo.gl/pq3VP9 ⏱ Если времени нет, то вот видео достойные внимания. NGINX Unit: https://goo.gl/GgaTUy Чуть раньше уже писал о нём. Это сервер приложений, который всё ещё находится на стадии бета теста, но день, когда мы сможем отказаться от зоопарка версий и сборок, например, php-fpm на одном сервере, всё ближе и это хорошо. https://www.nginx.com/products/nginx-unit/ NGINX Amplify: https://goo.gl/cQWFgq Система мониторинга веб-сервера, для NGINX и NGINX Plus. Удобная панель, возможность получить уведомления и рекомендации по увеличению производительности и безопасности площадки. https://www.nginx.com/products/nginx-amplify/ NGINX Controller: https://goo.gl/W5t4Rm Продукт для централизованного мониторинга, управления политиками, и работой платформы из единой панели управления. В первую очередь, конечно же, будет интересен ынтерпрайзу, тем, кто использует в работе NGINX Plus. https://www.nginx.com/products/nginx-controller/ 💾 Так как канал - это, всё же, формат ленты, не лишним будет поднять кое-какие записи по NGINX, опубликованные ранее: - NGINX. Первая подборка. Презентации, книга с примерами: https://t.me/SysadminNotes/415 - NGINX Cookbook: https://t.me/SysadminNotes/370 Будьте в курсе сами, делитесь постом, рассказывайте о канале. Хороших выходных вам, друзья. 🤓 #nginx #видео

При работе с tar (с бекапами, например) на сервере, не стоит забывать что у архиватора есть возможность сохранять расширенные атрибуты файлов. Делается это с помощью соответствующих ключей: # tar --selinux --acls --xattrs -cvf backup.tar /var/www/user/data # tar --no-acls --no-selinux --no-xattrs -xvf backup.tar Особенно важно, не забыть об этих параметрах при работе с сервером, где selinux активен. Аналогичная ситуация и с rsync, там мы так же можем работать с расширенными атрибутами файлов с помощью ключей -A для acl и -X для selinux: $ rsync -e ssh -aAXHPv /home/user/web root@sysadmin.pm:/var/www/user/data/ #tar #rsync #selinux

#пикча

Иногда возникает необходимость проверить права на все директории в пути к определённому файлу. В этом случае на помощь приходит namei:

# namei -l /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css 

f: /home/sysadmin/web/sysadmin.pm/public_html/wp-content/themes/f2/inc/theme-options/theme-options.css
dr-xr-xr-x root     root     /
drwxr-xr-x root     root     home
drwx--x--x sysadmin sysadmin sysadmin
drwxr-xr-x sysadmin sysadmin web
drwxr-x--x sysadmin sysadmin sysadmin.pm
drwxr-x--x sysadmin sysadmin public_html
drwxr-xr-x sysadmin sysadmin wp-content
drwxr-xr-x sysadmin sysadmin themes
drwxr-xr-x sysadmin sysadmin f2
drwxr-xr-x sysadmin sysadmin inc
drwxr-xr-x sysadmin sysadmin theme-options
-rw-r--r-- sysadmin sysadmin theme-options.css

#будничное #namei

Тулкит для проверки безопасности Amazon S3. https://github.com/ankane/s3tk # pip install s3tk # s3tk scan #security #amazon

✏️ Коротка заметка о переносе файлов сервера БД в нестандартную директорию, и настройка Selinux'а для этого. 📗 Открыть на сайте #будничное #mariadb #selinux

Меж тем, CentOS обновилась... https://lists.centos.org/pipermail/centos-announce/2017-September/022532.html Не забудьте выбрать время и установить апдейты. 🤓 #centos

Для случаев, когда нужно быстро состряпать валидный SSL сертификат, а тащить что-то на сервер нет желания, возможности, или времени, можно воспользоваться, например, таким вот генератором: https://www.sslforfree.com/ #ssl

Видео скорее для начинающих. Настройка Let's Encrypt для Apache с помощью certbot. PDF со шпаргалкой для тех кто не любит смотреть видео ниже. 🤓 #видео #ssl #apache #certbot