Записки админа

Быстро проверить открыт ли тот или иной порт можно, например вот так: $ (echo >/dev/tcp/sysadmin.pm/443) &>/dev/null && echo "Open" || echo "Close" Open Конструкцию удобно использовать при написании скриптов. #будничное

A мне, меж тем, отгрузили первую партию подарков на день Сисадмина для вас, друзья мои... Устроим розыгрыш среди подписчиков? Кто примет участие - нажмите на пингвина ниже. 🤓

Ещё одна заметка и скрипт для парсинга уже другого фотостока. Работает очень просто - указываем ключевик и страницу начала парсинга, получаем список адресов на изображения в отдельном файле. Ну и немного теории о том, как к такому скрипту можно прийти в принципе. 📘 Открыть Instant View 📗 Открыть на сайте #bash #автоматизация

На edX был запущен отличный курс по Kubernetes - системе управления контейнерами. Для тех кому не нужен сертифкат, курс должен быть доступен бесплатно. Подробности по ссылке ниже... https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x #kubernetes

Бот более не доступен. Во всяком случае в том виде, в котором работал сегодня. Спасибо всем, кто принял участие в опросе.

Помните писал о потенциальной уязвимости в systemd, которая появлялась в случаях, когда имя пользователя по какой-то причине начиналось с цифры? Так вот в очередном обновлении systemd эта проблема была закрыта. История продолжилась тем, что проблеме таки был назначен CVE идентификатор, а дистрибутивы стали рассматривать её как уязвимость. В качестве решения было предложено блокировать загрузку юнитов с некорректными именами пользователей. С некоторыми оговорками Леннарт проблему признал и патч для решения одобрил. Исправление попало в версию systemd 234, которая увидела свет вчера. На Opennet можно заглянуть за подробностями: https://goo.gl/TbokDH #systemd

Форвард был прислан одним из пользователей. Сейчас этого сообщения там я не нашёл. Такие дела.

Внезапно обнаружился бот, который якобы позволяет узнать номер телефона человека в Telegram. Достаточно просто переслать ему сообщение того, чей номер необходимо определить... @id2phone_bot Поспрашивал несколько человек - сказали что бот номер отобразил верно. Моего номера, и номеров нескольких других моих знакомых он не знает. А как у вас обстоят дела? Смог ли бот определить номер телефона автора пересылаемого ему сообщения? ✅ - Да, определил. ❎ - Нет, не определил. И это... Аккуратнее там, берегите свои личные данные.

А я до последнего думал что идея "белых списков" покинула головы ответственных, работающих в РКН кадров. Но нет. Эволюционирует ли рекомендация в требование - вопрос интересный, многое определяющий.

По результатам общения с подписчиком дополню немного - способ актуален не только для DO. Аналогичным образом удаётся установить и запустить RouterOS на простом VDS с KVM виртуализацией. #фидбечат

Коротко о том, как можно на VDS от DigitalOcean установить RouterOS. Делается всё одной командой, буквально за пару минут. 📘 Открыть Instant View 📗 Открыть на сайте #routeros #digitalocean

А тут ещё и Nginx обновился, закрыв уязвимость, которая при определённых обстоятельствах может привести к проблемам. Вот здесь чуть подробнее: http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html Временное решение, для тех кому обновления пока что не доступны: max_ranges 1; #security #nginx

Смотрите что принёс... Мэтью Брайант (спец по безопасности DNS) обнаружил и показал возможность получения контроля над доменом первого уровня, следствием чего является получение полного контроля над всеми доменами в доменной зоне. В ходе реализации атаки, Мэтью получил контроль над 4 из 7 первичных DNS в зоне .io. Смысл атаки сводится к поиску и регистрации освободившихся доменов, которые использовались в качестве имён первичных DNS. Обычно, регистрация таких доменов блокируется, но не в этом случае. В качестве примера, Метью зарегистрировал домен ns-a1.io, дождался активации услуги и убедился что он действительно получил контроль над одним из первичных NS. Дабы не допустить возможность реализации атаки, исследователь зарегистрировал так же ns-a2.io, ns-a3.io и ns-a4.io и связался с поддержкой NIC.IO. На следующий день, он получил уведомление о блокировке доменов и возврате потраченных средств. За подробностями можно заглянуть сюда: https://goo.gl/ZUnepT А здесь доступен инструментарий для проведения атаки: https://github.com/mandatoryprogrammer/trusttrees P. S. Ситуация на самом деле - жесть. #security #dns

Разработчиков Grsecurity понесло, и понесло достаточно серьёзно. Тот кто следит за ситуацией, знает что некоторое время назад, ребята решили от всех огородиться и закрыли свободный доступ к своим патчам, оставив их предоставление только платным подписчикам. Однако сами патчи распространяются (распространялись?) под GPLv2, а значит платным подписчикам ничего не мешает патчами делиться. И этим, возможно, пользовались, в том числе и в рамках проекта KSPP (перенос наработок Grsecurity в основное ядро). Дошло до того, что представители Grsecurity заговорили о судебном иске, а в условия сотрудничества добавили дополнительный пункт, запрещающий передачу патчей третьим лицам. Интересно в данном случае то, что добавленное требование нарушает GPLv2. На это сразу же обратили внимание. Брюс Перенс (Open Source Initiative, BusyBox, Debian) дал свою оценку происходящему, а Линус Торвальдс и вовсе призвал Grsecurity не использовать (он и раньше не особо жаловал их подход на самом деле). Мнения kernel-аналитиков с дивана разделились. Кто-то пытается оправдать представителей Grsecurity, считая что от них действительно отмахнулись — в основное ядро так и не взяли, грант выделили проекту KSPP. Кто-то же наоборот такой подход осуждает. Как по мне (тоже с дивана мнение, если что) — Grescurity является проектом полезным, не смотря на то что они не следуют тем концепциям, которые обозначены в сообществе ядра Linux. Но огородились зря. Да, понимаю что всем хочется кушать, отдыхать, семью обеспечивать, но возможно ребятам стоило поискать какие-то ещё варианты монетизации — репозиторий и поддержка ядер с включенными патчами например… Хотя, возможно, это сложная задача, так как обычно такие ядра нужно конфигурировать на конкретном сервере\окружении. Или попытаться расширить поддержку по использованию их патчей, давать консультации по внедрению и т. п. У меня опыт сборки ядра с их патчами был, и были случаи когда от квалифицированной поддержки я бы не отказался тогда. Но всё сложилось так как сложилось, и похоже что история на этом ещё не закончилась. Для интересующихся список ссылок с подробностями: Претензии: https://goo.gl/6bhRbc Линус: https://goo.gl/KX3MuL Брюс: https://goo.gl/5hKavM KSPP: https://goo.gl/zy5jVr О последнем хочется сказать пару слов отдельно - проект, на мой взгляд, занимается очень полезным делом, пытаясь выступить своеобразным компромиссом между радикальными решениями PAX\Grescurity и принятым в сообществе ядра вектором развития. С учётом того как быстро сейчас развиваются технологии, как быстро растёт количество устройств с тем или иным ядром Linux на борту, увеличение безопасности самого ядра становится очень важной задачей, и очень хорошо что проект её пытается решить. #естьмнение #grsecurity

Разработчики Node.js выпустили обновления для всех доступных на сегодняшний день версий от v4.x до v8.x. В рамках этих обновлений, была закрыта опасная уязвимость, используя которую, злоумышленник может вызвать отказ в обслуживании. Так что если вы работаете с Node.js, обязательно обновитесь, не затягивайте с этим. https://nodejs.org/en/blog/vulnerability/july-2017-security-releases/ #security #nodejs

Тем временем, в Windows Store завезли Ubuntu. Теперь дистрибутив как и SUSE доступен для установки из магазина приложений. #windows #ubuntu

Ещё немного о backconnect, но теперь уже на практике - короткая заметка о том, как можно организовать удалённый доступ на машину, которая стоит за NAT'ом. 📘 Открыть Instant View 📗 Открыть на сайте #будничное #ssh #backconnect

Немного новостей: 1. Мы внезапно перевалили за 1000+. Привет всем заглянувшим на огонёк, отдельный привет пришедшим с @g33ks, надеюсь вам у нас понравится. Был очень удивлён размещением там, администратору канала моя отдельная благодарность. 🤓 2. С несколькими подписчиками выяснили, что на некоторых клиентах, Instant View ссылки на заметки в блоге не открываются. Судя по всему, связано это с тем, что клиенты не понимают ссылки вида t.me/iv?url=, ожидая что тут должен оказаться юзернейм, а не адрес сайта. Сделать с этим что-то пока что нельзя, так что я немного скорректирую формат постов для таких заметок - теперь в посте будет доступна и IV ссылка, и ссылка сразу на сайт. Сам сайт слегка довёл до ума, так что в мобильных браузерах он должен открываться корректно. Такие дела, друзья. Продолжаем работать. 🤘🏻

После переписки с одним из подписчиков начал перебирать закладки и там нашёл старый, но очень хороший, всё ещё не потервший актуальность пошаговый мануал о том как вступить на путь системного администратора Linux. Всем заинтересованным рекомендую (абстрагируясь от мнения автора о Windows) изучить материал и попытаться выполнить предложенные задания. http://nodesquad.blogspot.ru/2013/04/blog-post.html Не обращайте внимания на дату поста, всё что описано в заданиях там, актуально и на сегодняшний день. Разве что версии дистрибутивов стали новее. 🤓

Много разных способов реализации backconnect'а доступно по ссылке: http://itsecwiki.org/index.php?title=Backconnect #будничное #фидбечат