Записки админа

🐧 Linux Kernel Runtime Guard. Тем временем, был анонсирован новый проект, который однозначно заслуживает внимания - Linux Kernel Runtime Guard. LKRG - это модуль для ядра Linux, который выполняет проверку целостности среды и предотвращает работу эксплойтов, нацеленных на уязвимости в ядре. Версия 0.0 уже доступна для загрузки, разумеется, она не для прода, но все заинтересованные уже могут попробовать модуль в работе. Заявлена поддержка RHEL7, Ubuntu 16.04 и даже OpenVZ 7, Virtuozzo 7. Подробности, сам модуль и подписка на рассылку здесь: http://www.openwall.com/lkrg/ Анонс на openwall: http://www.openwall.com/lists/announce/2018/01/29/1 Обязательно возьмите на заметку этот проект, надеюсь, будущее у него будет хорошее. #kernel #security

📊 Мониторинг сайтов и серверов. В заметке поднимаем и настраивааем PHP Server Monitor - простой мониторинг для сайтов и серверов, который может быть запущен даже на обычном хостинг-аккаунте. PHP-хейтеры, не бузите, это действительно неплохой проект, который порой выручает веб-мастеров. 🙂 📗 Открыть на сайте #будничное #monitoring

☁️ Google cloud shell. Оказывается об этом знают не все - у Google есть возможность прямо в браузере получить доступ к Cloud Shell - этакая виртуальная машина, в которой есть набор всех необходимых инструментов для управления ресурсами в облаке. Есть сам gcloud клиент, есть редакторы типа vi и nano, доступен git, bash и т. д. Теримнал доступен здесь (потребуется только аккаунт Google): https://console.cloud.google.com/cloudshell/editor?pli=1&shellonly=true Документация по работе с Google Cloud Shell доступна здесь: https://cloud.google.com/shell/docs/quickstart #google #cloud

#пикча

🙉 Это не баг, это фича. Есть такой занимательный ресурс - whoami.filippo.io, если подключиться к нему по SSH, то при определённых обстоятельствах, сервис выдаст персональную информацию о подключившемся. ssh whoami.filippo.io Информация собираются сервисом на основе передаваемых при соединениях данных об открытых SSH ключах. По умолчанию, SSH при подключении начинает перебирать имеющиеся открытые ключи один за другим. Могут быть переданы не все ключи, так как перебор будет выполняться, на основе алгоритмов шифрования, например, если из 20 ключей в системе, под нужные параметры будет подходить пять, SSH отправит сервереру их, пробуя с каждым из них авторизоваться поочерёдно. Используя эту особенность, и то что все открытые ключи на Github доступны (https://github.com/torvalds.keys на то они и открытые, на самом деле), и уже достаточно давно собраны в единую базу, сервис whoami.filippo.io сопоставляет полученные при соединении ключи с теми данными что собраны на Github, и выдаёт суммарную информацию, которая имеется в наличии. На данный момент, у меня во всяком случае, выдаёт не много - юзернейм на Github и указанные там имя и фамилию. Для того что бы при соединении по SSH конкретному хосту отдавался конкретный ключ, можно воспользоваться настройкой в .ssh/config: IdentitiesOnly yes Host github.com IdentityFile ~/.ssh/id_rsa И вот с одной стороны - вроде бы ничего страшного не происходит, используются только открытые данные, да и в профиле может быть указано всё что угодно. Но не далече как два дня назад, мы с одним товарищем, просто на основе фотографии здания на одном из TOR сайтов, используя только открытые, доступные всем данные, собрали на человека приличное количество информации, где было и ФИО, и места работы, и фото, и видео где он музицировал, и архив фото его друзей, и ещё много чего. На всё про всё ушло минут 10 времени. Я, собственно, к чему всё это - может быть и не зря параноики о своих данных пекутся... Особенно сегодня, в 2к18. Да, скомкал как-то две темы в , и да, опять побурчал про приватность, но что-то вот пришли такие мысли субботним утром. Ну и да, а вас, камрады, приватность вашей личности ещё заботит? 🙈 Приватностью озабочен серьёзно. 🙊 Да, местами ещё вспоминаю о ней. 🐵 Не заморачиваюсь почти никак. #естьмнение

👨🏻‍🎓 Ещё треннинги. И вот тут подкинули ссылку на ресурс с большим количеством неплохих треннингов практически по всем трендовым вещам на сегоняшний день: https://www.katacoda.com/learn Контейнеры, машинное обучение, облака, обработка данных и всё вот это вот. Доступно бесплатно, потренироваться можно прямо в браузере, так что потратить время на ознакомление очень рекомендую. #фидбечат #курсы

🐳 Docker треннинг. Тут обнаружился очень неплохой бесплатный треннинг по Docker'у. http://training.play-with-docker.com/ops-landing/ С конкретными примерами в ходе обучения и возможностью сразу опробовать их (для этого потребуется учётная запись на id.docker.com). Выглядит очень неплохо (не смотря на не самую очевидную навигацию в начале), так что если давно хотели с докером разобраться - загляните обязательно. #docker #видео

Тут в curl'е обнаружились проблемы при работе с редиректом и заголовком "Authorization:", следствием которых может стать утечка данных. Подвержены версии libcurl от 7.1 до 7.57.0 включительно. Если где-то, например в скриптах, curl используется, имеет смысл обновить его до версии, где уязвимость уже исправлена. Подробности по ссылке: http://seclists.org/oss-sec/2018/q1/94 #curl #security

Принёс вам крутую штуку - online-генератор конфига для Nginx. Открываем сайт, выбираем нужный набор параметров, забираем готовые конфиги и тестируем их у себя. 🙂 https://nginxconfig.io/ #nginx

✏️ Эксперимент с донатами. Друзья, пожалуй, можно объявить, что эксперимент с донатами на канале завершён. Признаюсь честно - их было не много, но каждому кто задонатил я хочу сказать - Спасибо. Средства, внесённые вами ушли на баланс облачного провайдера, которого я использую для тестов при подготовке заметок, в ходе помощи в каких-то вопросах в чатах, при прямых обращениях и т. п. Канал вошёл в прежнее, активное рабочее русло, это требует некоторого времени и сил, думаю будет справедливо, если 1-2 раза в неделю здесь будет появляться реклама, которая поможет мне и дальше над каналом работать продуктивно. Надеюсь, камрады, вы всё прекрасно понимаете и сами, и никакого "жжжжжж" по этому поводу не случится. Впереди у нас небольшой ребрендинг (да-да, я всё ещё до него не могу добраться), подборка хештегов канала, возвращение дайджеста и несколько других мелочей, о которых просили подписичики. Продолжаем работать, друзья. 🤓

🔎 Virusgotal. Кроссплатформенная cli обёртка для работы с Virustotal. На самом деле удобная штука, когда тебе надо быстро проверить какой-то файл, отправив его на анализ прямо с сервера. Спасибо за фидбек. 🙂 📗 Открыть на сайте #фидбечат #virustotal #security

Linux Piter выложили материалы последней конференции. Есть интересные вещи, так что загляните обязательно. Плейлист на Youtube: https://goo.gl/P2V3U9 #видео #конференции

И вот ещё занятный репозиторий, который содержит необходимый набор конфигов и сценариев Ansible для быстрого разворота персонального IPSEC VPN'а на популярных облачных платформах - DigitalOcean, Amazon EC2, Azure, Google Cloud или, при необходимости, на собственном сервере. https://github.com/trailofbits/algo #vpn #ipsec #algo

Сегодня будет немного Github'а, друзья. Для начала - несколько странная на мой взгляд разработка, о которой мне рассказали в одном из фидбеков: https://github.com/Bash-it/bash-it Bash-it - этакий фреймворк, содержащий в себе уже готовые автодополнения, алиасы и написанные функции, которые призваны облегчить жизнь системному администратору. Если решите попробовать, то обязательно сделайте бекап ~/.bash_profile и ~/.bashrc файлов перед установкой. Возможно, кому-то подобный фреймворк консольные будни действительно облегчит, но например у меня за годы использования Linux на сервере и десктопе сформировался уже собственный список алисов, с которым, по ощущениям, работать куда удобнее чем вот с таким, готовым решением от энтузиастов. #фидбечат #bash

Друзья, в CentOS Web Panel v0.9.8.12, обнаружена удалённая SQL Injection уязвимость. Если кто-то этой панелью пользуется, будьте в курсе происходящего. Подробности здесь: https://vulners.com/vulnerlab/VULNERLAB:1833 И здесь: https://www.vulnerability-lab.com/get_content.php?id=1833 И вот вам ещё пара ссылок на другие уязвимости в этой панели: https://www.vulnerability-lab.com/get_content.php?id=1835 https://www.vulnerability-lab.com/get_content.php?id=1836 #centoswebpanel #security #centos

📑 Snoopy. Несколько слов о snoopy - библиотеке, с помощью которой мы можем писать в syslog все выполненные на сервере команды. Пишется и сама команда, и аргументы, что порой, при анализе, бывает очень нужно и удобно. 📗 Открыть на сайте #snoopy #logs

📧 Между делом сообщают - IP Google в очередной раз оказался в листинге SORBS, и к сожалению, те почтовые серверы, которые этот dnsbl используют у себя, часть почты от Gmail могут отфильтровать. Проблема, скорее всего, временная, затрагивет далеко не всех. Случается такое уже не в первый раз, и решится, я думаю, быстро. Владельцы почтовых серверов, которые с эффектом от листинга уже столкнулись, могут добавить IP Google в белый список. IP можно взять здесь: https://support.google.com/a/answer/27642?hl=en #фидбечат #sorbs #google

Тот случай, когда ты пост написал, подготовил его для канала, опубликовал... А ссылку поставить забыл... И понял это только через полтора часа... 🤦🏻‍♂️ О Bashdb заметка здесь: https://sysadmin.pm/bashdb/ Всем хороших выходных, камрады, что бы без вот таких вот мелких упущений. 🙂 #фидбечат #bash #bashdb

💻 Bashdb. Bashdb - дебаггер для bash скриптов. Задачка по дебагу оных не часто встречается, но если столкнулись с ней, на bashdb стоит обратить внимание. #фидбечат #bash #bashdb