Записки админа

В коллекцию ссылок, вдруг кого-то так же заинтересует: http://www.makelinux.net/kernel_map/ Это интерактивная карта Linux ядра. Что с чем связано, что к чему относится и всё вот это вот. #kernel

📚 Книги. А ещё, обнаружился занятный ресурс, на котором бесплатно, без регистрации и смс, для загрузки доступны книги по программированию, разработке, администрированию и т. п.: http://goalkicker.com Материал подготовлен ребятами из Stack Overflow Documentation, выглядит относительно свежим, вёрстка приятная, читается легко. Загляните обязательно, думаю что-то полезное для себя найдёте. #книга

🐳 DigitalOcean. DigitalOcean снизил цены и пересмотрел некоторые свои тарифы. Ценник всё ещё выше чем в среднем по рынку, но для всех, кому нужно срочно и быстро мощный сервер на пол часика потестировать что-то, и для всех кому просто бложек разместить на достаточно надёжной платформе, всё стало ещё вкуснее. Сам я с DO работаю достаточно давно, впечатления от работы положительные. Вот вам рефералочка, на случай если решите попробовать: https://m.do.co/c/f5fc7b0a963d #digitalocean

👨🏻‍💻 GoAccess. Смотрим на анализатор логов GoAccess. Из приятного - работает прямо в терминале, умеет обрабатывать информацию из пайплайна, работает с логом в реальном времени, обрабатывает несколько логов одновременно и имеет ещё несколько приятных функций. 📗 Открыть на сайте #goaccess #logs

Вчера поставили задачку - увеличить производительность OpenVPN сервера. Как следствие, появилась заметка об увеличении буфера, с разбором, почему для повышения скорости работы нужно его увеличить. 📗 Открыть на сайте #openvpn

Начали год с уязвимостей, так и продолжаем, они, судя по всему, стали уже неотъемлимой частью этого канала. В Glibc обнаружена уязвимость, используя которую злоумышленник может повысить свои привилегии в системе. Подробности доступны по ссылкам: https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/ http://www.openwall.com/lists/oss-security/2018/01/11/5 Обязательно проследите за выпуском обновлений для вашего дистрибутива. #security #glibc

К слову, история получила продолжение. https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5 Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия: - В рамках одного IP адреса размещается большое количество доменов. - На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него. Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте: https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188 А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты: https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207 Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете. #letsencrypt #certbot #security

На неделе прислали пару занятных фидбеков. 🙂 Первый - стрелялка, написана на bash, запускается в консоли и поддерживет режим для двух игроков. https://github.com/vaniacer/piu-piu-SH #фидбечат

И вот ещё небольшая заметка об установке grsecurity ядра в Debian с помощью специального скрипта. 📗 https://sysadmin.pm/debian-grsecurity/ #debian #grsecurity

На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет. Тред на HN: https://news.ycombinator.com/item?id=16112894 status.io: https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241 OpenNET: http://www.opennet.ru/opennews/art.shtml?num=47882 #security #ssl #letsencrypt

А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно. 📗 https://sysadmin.pm/block-tor-iptables-csf/ #iptables #ipset #csf

Ни дня без новости об уязвимостях в процессорах. Вот здесь OVH собирает информацию о популярных ОС и о готовности патчей для них. Возможно кому-то будет интересно последить за процессом: https://docs.ovh.com/fr/dedicated/meltdown-spectre-kernel-update-per-operating-system/ #security #spectre #meltdown

Камрады, когда вы в последний раз проверяли свои бекапы и убеждались в том, что они целы и работоспособны? О, спасибо, сходил проверил! – 103 👍👍👍👍👍👍👍 36% Проверяю раз в месяц. – 88 👍👍👍👍👍👍 31% Проверяю часто и\или проверяет автоматика. – 76 👍👍👍👍👍 27% Проверяю раз в неделю. – 17 👍 6% 👥 284 people voted so far.

Альтернативный, и надо заметить, удачный UI для CloudStack. Возьмите на заметку, в случае если с этой платформой работаете или работать планируете. https://github.com/bwsw/cloudstack-ui #сloudstack

А вообще, принёс вас сегодня занятное - Dynimize, с помощью которого, по заявлению разработчиков, можно серьёзно улучшить производительность сервера БД. В заметке небольшой обзор, ссылки на подробности, графики и тесты. Продукт в бете, скорее всего станет платным, но посмотреть на него интересно. https://sysadmin.pm/dynimize/ #dynimize #mysql #jit

Ещё немного о процессорах и уязвимостях в них, из того, за чем слежу я во всей этой суете... - В AMD так же нашли дыру в аппаратно изолированном исполняемом окружении: https://goo.gl/kY2uU3 - Разработчики CloudLinux над проблемой так же активно работают: https://goo.gl/KcjTH7 - На форуме OpenVZ человеку надоело ждать, он сходил, пропатчил и поделился всем необходимым: https://goo.gl/hhNW8J

Друзья, если кто-то пользуется сервисом Mailgun, обязательно обратите внимание на сообщение от них: http://blog.mailgun.com/mailgun-security-incident-and-important-customer-information/ С получением несанкционированного доступа к аккаунту одного из сотрудников, злоумышленником были скомпрометированы пользовательские API ключи. Утверждается, что под угрозой оказались примерно 1% пользователей, и если сервис напрямую не уведомил вас о проблеме, значит с аккаунтом всё хорошо. Рекомендации для пострадавших очевидны в данном случае - сменить API ключи и данные для SMTP доступа. P. S. С Intel'ом, к счастью, проблема так же решается - браузеры выпустили обновления, разработчики ОС выпустили обновления и даже сам Intel, судя по всему, пообещал выпустить апдейты микрокода для большинства моделей процессоров.

👾 Нет, ну а что - отлично же год начали, разве нет? Тему уже обсудили во всех тематических и даже околотематических чатах, разобрали на соответствующих ресурсах и в конференциях, так что в очередной раз дублировать информацию не стану. Если кто-то ещё (нет ну вдруг) не в курсе - то были обнародованы данные по двум серьёзным проблемам в процессорах Intel и ARM64. Много информации по этому поводу собрано и структурировано на OpenNET: https://www.opennet.ru/opennews/art.shtml?num=47849 Здесь непосредственно об уязвимостях: https://www.opennet.ru/opennews/art.shtml?num=47856 На Информация опасносте очень неплохо осветили проблему, начиная с этого поста и ниже: https://t.me/alexmakus/1568 Technologique так же прошёлся по вопросу, начиная с этого поста и ниже: https://t.me/technologique/1223 Обозначенные выше посты полны дополнительной информации и ссылок на различные источники, так что если ещё не ознакомились, сделать это стот обязательно. Равно как и установить обновления на сервер, а после не забыть проверить производительность работы с новым ядром. К сожалению, кто-то может быть неприятно удивлён. Если у кого-то на руках будут живые результаты сравнения производительности до и после обновления - пишите, будет интересно посмотреть на них и поделиться со всеми. P. S. Нашлась тут в загашниках одна картинка... Подправил её немного.