Записки админа

Как обычно, когда нахожусь в поездке (а я тут уже второй день в поезде еду), продолжаю делиться с вами полезными ссылками. Вот например ресурс с несколькими текстовыми курсами для devops'ов - https://learn.techbeacon.com/ Конкретики и живых примеров курсы, к сожалению, содержат не много, но для общего понимания, для структурирования знаний, имеет смысл ознакомиться с ними, возможно что-то полезное для себя вы там найдёте.

А есть ли среди нас те, кто плотно работает или изредка сталкивается с большими данными (BigData)? На Stepic доступен неплохой курс по Hadoop. Возможно для кого-то из подписчиков он окажется полезен. https://stepik.org/150/ #stepic #hadoop #bigdata

Владельцам проектов на Drupal так же стоит озаботиться установкой обновлений безопасности. Были обнаружены три уязвимости (одна из них критическая), используя которые, злоумышленники могут доставить неприятности администраторам сайтов. Обновления и подробности уже доступны по ссылке https://www.drupal.org/SA-CORE-2017-003 Остаётся только скачать и установить их. #security #drupal

Приветствую всех кто оказался на канале по рекомендации Константина. Надеюсь вам у нас понравится. 🤓 А я меж тем, с не очень хорошими новостями: Объявлено об обнаружении 10 уязвимостей в гипервизоре XEN. Некоторые из них, при определённых условиях дают возможность атакующему выйти за пределы гостевой в хост систему. Подробности и патчи доступны по ссылке https://xenbits.xen.org/xsa/ Обязательно закройте уязвимости, если ещё не сделали этого. #security #xen

🔏 В одном из чатов, в связи с последними новостями по поводу блокировки Telegram, возник вопрос быстрого поднятия собственного proxy сервера. Короткая заметка по настройке 3proxy для работы socks и http прокси прилагается. #будничное #3proxy

Об этом уже давно предупреждают и регистраторы, и хостеры, но всё равно находятся те, кто продолжает на подобное попадаться. Друзья, если среди нас есть владельцы сайтов, или есть знакомые, которые работают над сайтами, покажите им вот такое вот письмо, и попросите их быть бдительными, не вестись на этот развод. Если кратко - злоумышленники, прикидываясь регистратором доменов или хостером (письмо при этом немного другое, но суть та же), присылают такой вот фейк-запрос о необходимости размещения файлов. Позже, если файл таки оказывается размещён, через него происходит взлом сайта, что разумеется приводит к печальным последствиям. Будьте аккуратнее, не попадайтесь на всё вот это вот. Хорошей пятницы вам. 🤓

И ещё один неплохой курс по администрированию Linux. Актуальность информации - весна 2017. Лекции достаточно длинные (1-2 часа каждая), но думаю что выделить на них несколько вечеров (особенно тем кто только начинает всё это изучать) однозначно стоит. https://www.youtube.com/playlist?list=PLrCZzMib1e9rx3HmaLQfLYb9ociIvYOY1 #видео

Таки удалили google.ru из реестра, но "осадочек-то остался". Интересно, дождёмся ли мы каких-либо комментариев по произошедшему, и если дождёмся, то будет ли там что-то кроме "это не мы, это потому что вот у них-то...". Печально всё это.

Такие дела.

📓 Сегодняшняя заметка о том, как настроить Nginx и SSL на 100% прохождение тестов на SSLLabs. Однако не могу не отметить отдельно - далеко не всегда 100% прохождение таких тестов есть что-то хорошее. Для популярного, посещаемого ресурса обязательно стоит изучить аудиторию, и если среди посетителей есть те, кто пользуется устаревшими браузерами, или старыми ОС, имеет смысл подумать о более мягкой настройке веб-сервера. В противном случае - да, можно увидеть красивые зелёные полоски и циферки в тестах, но не увидеть части реальных посетителей, для которых сайт окажется не доступен из-за жёстких настроек. #будничное #nginx #ssl

Отличный инструмент для проверки шелл скриптов на ошибки - shellcheck (в некоторых дистрибутивах ShellCheck). Просто ставим его из репозиториев, а затем выполняем команду: shellcheck script.sh Результатом выполнения команды будет отчёт с указанием на явные, допущенные в процессе написания скрипта ошибки. #будничное #shell

В OpenVPN были найдены несколько уязвимостей, которые потенциально могут привести к проблемам. Одна из них, при определённых условиях, может привести к выполнению кода на сервере. Информацию об уязвимостях опубликовал Гвидо Вренкен, после проведения fuzzing тестирования кодовой базы пакета. Исправления уже выпущены разработчиками, так что если Вы используете OpenVPN, обязательно выберите время и займитесь установкой обновлений на сервер. #openvpn

Быстро создать rpm пакет из deb пакета можно с помощью утилиты alien 👽: alien -r -c -v package_0.99-3-gb637151_amd64.deb Создать deb пакет из rpm можно вот так: alien -c -v package-0.99_3-1.x86_64.rpm Очень удобная штука в случаях когда у тебя есть парк машин с разными ОС, на которые нужно подготовить пакет с каким-то ПО. #будничное #alien

Простая разница в iptables: DROP - просто закрывает соединение и ничего не отправляет в ответ. REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable. В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них. #будничное #iptables

Забегался в делах и пропустил новость о том, что создатели ProtonMail (вы же знаете такой защищённый почтовый сервис?) презентовали в открытом доступе проект ProtonVPN, на котором среди нескольких тарифов есть бесплатный. Если кто-то ещё не знал об этой новости, загляните на https://protonvpn.com/ К слову, интересно узнать мнение вот по какому вопросу: Доверяешь ли ты, мой дорогой подписчик, сторонним VPN сервисам? 😏 - Да, доверяю или доверился бы. 😈 - Нет, только свой собственный сервер. 🤔 - Не использую VPN совсем. Спасибо за мнение.

Ransomware завоёвывает Linux или поучительная история о хостере, который согласился выплатить 1 миллион долларов за выкуп зашифрованных клиентских данных. Используя, предположительно, модифицированную версию шифровальщика Erebus и уязвимости в устаревшем ПО, злоумышленникам удалось зашифровать данные 153 Linux серверов и 3400 клиентских сайтов южнокорейского хостера Nayana. Изначально, злоумышленники требовали за расшифровку почти 4.4 миллиона долларов, однако в ходе переговоров удалось снизить стоимость выкупа до одного миллиона. К большому сожалению, хостер не озаботился своевременным обновлением ПО, например на его серверах работало ядро 2.6.24.2 (2008 год), Apache 1.3.36 и PHP 5.1.4 (2006 год), разумеется, для этих версий достаточно и уязвимостей, и готовых эксплойтов, чем видимо и воспользовались злоумышленники. О чём это всё? Да всё о том же... 1. ПО на серверах нужно обновлять регулярно, а за выходом обновлений безопасности обязательно следить. 2. Бекапы данных с сервера делать на внешнее хранилище, причём так, что бы с самих серверов на это хранилище нельзя было повлиять. Берегите свои данные и данные своих клиентов (по моему я опять повторяюсь).

А у нас с вами, меж тем, очередная уязвимость в ядре (CVE-2017-1000364) и glibc в придачу (CVE-2017-1000366). Кратко вот здесь: https://access.redhat.com/security/vulnerabilities/stackguard В деталях по этой ссылке: https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt Обязательно изучите и не забудьте проверить обновления для своих систем. #security

А вот здесь информация о том, какие изменения безопасности ждут пользователей RHEL 7.4, а значит и CentOS 7. #centos #rhel