Записки админа

А тем временем, для Apache подготовлен модуль, с помощью которого, можно автоматизировать получение сертификатов Let's Encrypt по протоколу ACME. https://github.com/icing/mod_md #apache #ssl

И вот, прямо с ходу, если ещё не видели - инструмент для изоляции процессов: https://github.com/google/nsjail Не смотря на репозиторий, это не официальный проект от Google, но всё же, внимания достойный, как по мне. Примеры использования есть и на Github по ссылке выше, и на сайте: http://nsjail.com #nsjail

Нет, ну а что... Раз в несколько лет можно и пропасть на несколько дней от всех. Благодарю всех, кто оставался на связи, слал фидбеки и ждал новых постов тут. Всё обработаю, всё посмотрю и отвечу в течение 2-3 дней всем, чьи сообщения прочитал, но сразу не ответил. Я вернулся, скоро будем фигачить в обычном режиме. Ура. 🤓

Я давно обещал людям подборку каналов, но как-то это дело постоянно откладывалось, и в итоге каналов накопилось столько, что подборкой будет явно не отделаться. В связи с этим, прошу любить и жаловать - @nedarknet Недаркнет - это отдельный канал-каталог, где время от врмени будут публиковаться IT'шные каналы, с которыми меня просят познакомить аудиторию. Если ты, дорогой мой подписчик, в получении информации о новых каналах заинтересован - подписывайся на Недаркнет тоже. Какой-то регулярности публикаций пока что не обещаю, нет пока и какой-то полностью сформировавшейся идеи, так что на данном этапе, я просто буду добавлять туда что-то интересное по мере возможности. И да, постараемся обойтись без гаджето-гико-новосте-обзоро-даркнет каналов, собрав что-то более-менее авторское, что ведётся уже какое-то время, но так и не стало популярным по разным причинам.

Очень простая, но в то же время полезная утилита - cheat. С ней у администратора появляется возможность быстро получить шпаргалку по какой-либо команде. И никакого гугла при этом не нужно. 🤓 Свои шпаргалки добавлять, конечно же тоже можно. Ставим с помощью pip или brew: # pip install cheat Исходники и подробности ищем прямо на Github: https://github.com/chrisallenlane/cheat #будничное #cheat

Выяснили что для корректной установки выполнения трёх команд из интсрукции мало. Нужно что бы на сервере был установлен gcc, make и пакет libssl-dev, без которого установка корректно не проходит. #фидбечат

В коллекцию ссылок. Поисковик по популярным платформам online курсов (Coursera, edX, Udacity и т. п.): https://www.moocha.io/ Просто вводим запрос и получаем ссылки на соответствующие курсы.

Слушайте, давно хотел на эту тему поговорить, а тут и повод нашёлся, и время появилось. Для многих всё будет очевидным, для кого-то покажется скомканным, но всё же. Для начала предыстория - недалече как вчера, появилась заметка о том, как ФБР арестовали далеко не малолетнего, но к сожалению, дебила, терроризировавшего человека через интернет. Сама по себе драма интереса не вызывает, там всё как обычно - парень получил доступы к данным жертвы, слил себе что-то приватное, а после начал творить всякое. Интересно в данном случае другое - пойман парень был с помощью данных, полученных от VPN сервиса PureVPN, которым пользовался для своих тёмных делишек. И всё бы ничего, только вот PureVPN, до последнего позиционировал себя как сервис, который не следит за активностью пользователей и не ведёт логи, фиксируя только время посещения. Такие дела. Помнится, на канале я проводил опрос о доверии к сторонним поставщикам услуг VPN, тогда выяснилось что не многие, но всё же доверяют сторонним компаниям. По моему, это действительно хороший повод задуматься, а стоит ли так поступать? Стоит ли верить стороннему, пусть и популярному сервису, обещающему приватность и анонимность? Аналогичный вопрос к сервисам-обзорщикам провайдеров, которые якобы что-то там проверяли и убеждались в чём-то. К слову, после того опроса, мне некоторые приводили в качестве аргумента репутацию и известность сервиса. Якобы известный сервис вряд ли станет подставлять сам себя, ведь тогда доверие к нему будет подорвано. Передаю привет этим читателям отдельно. На мой скромный взгляд, сегодня пользователю доступно большое количество разных, готовых к работе решений, которые позволяют всего за один вечер (а то и быстрее), пусть не детально, но разобраться в вопросе, и настроить собственный VPN для своих нужд. Некоторые конечно же могут подметить, мол, вероятность ошибки при самостоятельной настройке у пользователя будет выше, чем вероятность ошибки у сервиса, который этим занимается. Соглашусь. Однако я смотрю на это примерно так - пусть лучше что-то пойдёт не так из-за моей собственной ошибки, чем всё развалится из-за того что сторонний сервис сделал что-то, решил закрыться, оказался прижат к стенке, или решил вдруг стать белым и пушистым и кому-то там помогать. Да, собственный сервер требует определённых знаний, да, он будет стоить пользователю каких-то денег (аж от 1 евро\месяц), и да на настройку потрбуется время. Однако при этом, настроив всё необходимое, пользователь выиграет гораздо больше, чем несколько часов сэкономленных при использовании стороннего решения. Имея собственный сервер, пользователь останется хозяином своих данных, а это, как мне кажется, многого стоит сегодня. Я уверен, большинство читателей канала уже давно работают через свои собственные VPN серверы, но есть и те, кто всё ещё пользуется чем-то публичным. Подумайте, друзья, оно вам действительно нужно? https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html https://torrentfreak.com/purevpn-logs-helped-fbi-net-alleged-cyberstalker-171009/ #естьмнение P. S. Сообщением выше есть опрос о дополнительном канале связи. Если ещё не поучавствовали в нём, обязательно прокрутите и ответьте. Это важно. Спасибо.

К слову, тут опять какое-то "Жжжжж..." вокруг Telegram в РФ началось. Как считаете, этому каналу нужен резервный источник, например в Твиттере (не обязательно в нём), или нашей аудитории блокировка не страшна, в виду специфики интересов и знаний собравшихся? 👾 Нужен резерв где-то ещё. При блокировке доступа не будет. 😈 Резерв не нужен, при блокировке доступ всё равно получу.

То что могло бы быть отдельными постами, но в связи с поломкой планшета превращается в публикации-коротыши. 1. В личные сообщения подемтили, что если проект TurnKey вам показался интересным, то стоит так же обратить внимание и на Bitnami. Большое количество разных приложений, работа с облачными сервисами, и всё то что многие любят сегодня. https://bitnami.com/ 2. В уютненьком @safelinux чатике напомнили, что вебинар по Intel ME от Positive Technologies уже прошёл. Тем кто пропустил, но был заинтересован ссылка ниже. Те кто не любит ходить дальше Tlg, зайдите в указанный выше чат, там видео ещё вчера было загружено и готово для просмотра. https://youtu.be/PiUd2v4bejM P. S. Никогда не начинайте настройку техники за несколько часов до отъезда. Это как с серверами и их обновлением за несколько часов до нового года. 😔 #фидбечат

Есть такой проект - TurnKey GNU/Linux - в рамках этого проекта, мы можем скачать дистрибутив с уже готовым для работы определённым набором ПО. Огромным плюсом такого подхода, является то, что администратор может буквально за несколько минут получить систему с уже настроенным софтом. Скорее всего, вы в курсе о существовании TurnKey, но если нет, загляните сюда за подробностями: https://www.turnkeylinux.org/ Я же, хотел бы поделиться вот таким вот Github репозиторием: https://github.com/tklx/ Это проект TKLX - реализация TurnKey Linux на контейнерах. В репозитории доступны серверы БД, веб-серверы, прокси и несколько других готовых к работе приложений. #turnkey #tklx

Скрипт для автоматической настройки StrongSwan VPN сервера для Ubuntu и Debian. https://github.com/philpl/setup-strong-strongswan #фидбечат #strongswan #vpn

Вот например, приятный для глаз и функциональный мониторинг, который запускается прямо в терминале: https://github.com/aksakalli/gtop Ставим с помощью npm: # npm install gtop -g #фидбечат #gtop

Ну что, друзья, я таки смог вырваться в отпуск (начал собираться ещё в конце августа, да), так что в ближайшие недели полторы тут будет чуть тише чем обычно. Но совсем без каких-то интересностей не останемся точно - подкопилось некоторое количество фидбеков, с которыми я вас обязательно познакомлю. Продуктивного и позитивного дня всем. 🤓

📖 Я думал что таким уже давно никто не занимается, но нет. Потребовалось ограничить рефспам атаку на сайт одного из клиентов. По ситуации появилась соответствующая заметка. 📗 Открыть на сайте #будничное #nginx #refspam

И вот ещё немного Github'а. Скрипт для авторматической генерации конфигов веб-сервера из заранее описанного .yml. Поддерживаются Apache и Nginx. https://github.com/devilbox/vhost-gen #nginx #apache #vhostgen

Начнём месяц с Github'а, пожалуй. Вот, например, занятный репозиторий, созданного на основе Ansible инструмента, который за одну команду (как обещают создатели), превратит сервер на Ubuntu в машину противовеса цензуре. https://github.com/jlund/streisand/blob/master/README-ru.md Загляните за утренним (обеденным?) кофейком, возможно проект покажется интересным. #ansible #security

Ну что, друзья, каналу 5 месяцев. Прирост новых участников несколько уменьшился, но этим вопросом я обязательно займусь отдельно. Мы тут в любом случае топим за качество, а не за количество. 🤓 А пока что, традиционный дайджест прошедшего месяца. В этом месяце мы на канале: 🔐 Шифровали сообщение прямо в терминале: 🔐 https://t.me/SysadminNotes/408 🚷 Запрещали доступ к чужим процессам: 🚷 https://t.me/SysadminNotes/409 📈 Тестировали диски с помощью fio: 📈 https://t.me/SysadminNotes/431 💻 Разбирали утилиты для шаринга терминала: 💻 https://t.me/SysadminNotes/476 ⏱ Выполняли нагрузочное тестирование с siege: ⏱ https://t.me/SysadminNotes/436 🆖 Разбирались с Rate limit в Nginx: 🆖 https://t.me/SysadminNotes/464 ⚙️ Ставили ModSecurity для Nginx: ⚙️ https://t.me/SysadminNotes/468 ⚠️ Вспоминали о DDOS Deflate: ⚠️ https://t.me/SysadminNotes/466 🔏 Генерировали CAA запись: 🔏 https://t.me/SysadminNotes/465 📉 Знакомились с мониторингом sysdig: 📉 https://t.me/SysadminNotes/472 🖱Приняли на вооружение Linuxbrew: 🖱https://t.me/SysadminNotes/475 И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось. 👨🏻‍💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост: https://t.me/SysadminNotes/202 Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓

А теперь ребята готовят вебинар на эту тему. Заявлено бесплатное участие для всех желающих, но требуется предварительная регистрация. Загляните если интересно: https://www.ptsecurity.com/ru-ru/research/webinar/285539/ #intel

И вот ещё веб-сервер с функциями защиты от XSS и CSRF атак и SQL инъекций. SSL\TLS, аутентификация, сжатие, URL rewriting, CGI\FastCGI, IPv6 и ещё много того, то должен уметь делать веб-сервер, hiawatha делать умеет. Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению. https://github.com/hsleisink/hiawatha #hiawatha