🆖 Небольшой мануал о том, как подружить между собой ModSecurity и Nginx. Ставим, настраиваем, проверяем работу и получаем почти что ModSecurity WAF для Nginx Plus.
📗 Открыть на сайте
#будничное #nginx #modsecurity
📗 Открыть на сайте
#будничное #nginx #modsecurity
t.iss.one
Nginx и ModSecurity
Устанавливаем ModSecurity на сервер с Nginx и тестируем его работу. Сам Nginx забираем из репозиториев, а ModSecurity и нужный модуль собираем из исходников. Почти ModSecurity WAF для тех, у кого нет Nginx Plus.
⚙️ ️Буквально пара слов и примеры использования параметров ядра для увеличения производительности сети. Не претендую на истину в последней инстанции, просто записал то, что в разных ситуациях на разных площадках использую сам.
📗 Открыть на сайте
#будничное #sysctl
📗 Открыть на сайте
#будничное #sysctl
t.iss.one
Тюнинг с помощью sysctl.conf.
Изменение параметров ядра имеет смысл выполнять только при полном понимании происходящего. Оптимизация одного, может привести к повышенному потреблению ресурсов другого. Не стоит просто копировать и вставлять приведённые ниже параметры, обязательно обратитеcь…
20150325_network_performance_tuning.pdf
268.8 KB
Red Hat Enterprise Linux Network Performance Tuning Guide
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
А вот рекомендации по оптимизации уже от Red Hat. Там уже не только sysctl.
#будничное #sysctl
Меж тем, в ядре обнаружена очередная уязвимость (CVE-2017-1000253), которая позволяет при её использовании повысить привилегии в системе. Под ударом оказались версии:
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
https://seclists.org/oss-sec/2017/q3/541
#security #kernel
- CentOS 7 до выпуска 1708;
- RHEL 7 до выпуска 7.4;
- CentOS и RHEL 6;
В последних обновлениях CentOS 7 и RHEL 7 уязвимость была закрыта, так что обязательно установите их, если ещё не сделали этого.
Подробности можно найти здесь:
https://seclists.org/oss-sec/2017/q3/541
#security #kernel
seclists.org
oss-sec: Qualys Security Advisory - Linux PIE/stack corruption (CVE-2017-1000253)
📉 Разбираемся с sysdig и csysdig - утилитами для мониторинга работы процессов и активности системы в реальном времени.
📗 Открыть на сайте
#будничное #sysdig #scysdig
📗 Открыть на сайте
#будничное #sysdig #scysdig
t.iss.one
Sysdig и Csysdig.
Sysdig — удобный и функциональный инструмент, дающий администратору широкие возможности для сбора информации о работающей системе.
К слову, как раз сейчас sysdig проводит двухдневную конференцию. Запись прошедшего дня уже есть на ютубе:
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
https://youtu.be/-Z17GnfcmFU?t=2007
Трансляция второго дня так же будет доступна на канале sysdig'а. Ребята основательно проходятся по теме контейнеров, поднимают вопросы безопасности, показывают свои продукты, работающие на основе sysdig и обещают ещё много интересного. Пожалуй, вечерком, под чаёчек, стоит запустить и посмотреть.
#видео #sysdig
Продолжая тему sysdig - графическая утилита для анализа scap файлов - функционал тот же что и у csysdig, но выглядит, конечно, куда приятней.
https://github.com/draios/sysdig-inspect
#sysdig
https://github.com/draios/sysdig-inspect
#sysdig
🐧 Несколько слов о Linuxbrew. К нему я в будущем буду время от времени обращаться при установке какого-то ПО с гитхаба, так что эта заметка точно лишней не будет.
📗 Открыть на сайте
#linuxbrew #brew
📗 Открыть на сайте
#linuxbrew #brew
t.iss.one
Linuxbrew
Linuxbrew — форк проекта Homebrew для MacOS. Удобный инструмент для быстрой установки некоторых программ, не требующий при этом прав суперпользователя.
💻 О том как можно расшарить вывод теримнала в вебе, и о том как можно организовать совместную работу над одной сессией терминала из разных мест.
📗 Открыть на сайте
#ttyd #gotty #tmate
📗 Открыть на сайте
#ttyd #gotty #tmate
t.iss.one
tmate, ttyd, gotty.
Утилиты для публикации результатов выполнения введённых в терминале команд и совместной работы в рамках одной сессии терминала на сервере.
Ещё один неплохой pastebin сервис в коллекцию ссылок:
https://glot.io/
Желающие могут сделать себе такой же, исходники доступны на Github:
https://github.com/prasmussen/glot
#фидбечат #pastebin
https://glot.io/
Желающие могут сделать себе такой же, исходники доступны на Github:
https://github.com/prasmussen/glot
#фидбечат #pastebin
GitHub
GitHub - glotcode/glot: Pastebin with runnable snippets and API
Pastebin with runnable snippets and API. Contribute to glotcode/glot development by creating an account on GitHub.
И вот ещё веб-сервер с функциями защиты от XSS и CSRF атак и SQL инъекций. SSL\TLS, аутентификация, сжатие, URL rewriting, CGI\FastCGI, IPv6 и ещё много того, то должен уметь делать веб-сервер, hiawatha делать умеет.
Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению.
https://github.com/hsleisink/hiawatha
#hiawatha
Желающим попробовать что-то кроме Nginx в проекте очень рекомендую к ознакомлению.
https://github.com/hsleisink/hiawatha
#hiawatha
Записки админа
О недокументированной возможности отключения Intel ME (Management Engine) от ребят из Positive Technologies. https://blog.ptsecurity.ru/2017/08/intel-me-disable.html #security #intel
А теперь ребята готовят вебинар на эту тему. Заявлено бесплатное участие для всех желающих, но требуется предварительная регистрация. Загляните если интересно:
https://www.ptsecurity.com/ru-ru/research/webinar/285539/
#intel
https://www.ptsecurity.com/ru-ru/research/webinar/285539/
#intel
Ptsecurity
Укрощение Intel Management Engine
Укрощение Intel Management Engine - вебинары Positive Technologies
Ну что, друзья, каналу 5 месяцев. Прирост новых участников несколько уменьшился, но этим вопросом я обязательно займусь отдельно. Мы тут в любом случае топим за качество, а не за количество. 🤓 А пока что, традиционный дайджест прошедшего месяца.
В этом месяце мы на канале:
🔐 Шифровали сообщение прямо в терминале:
🔐 https://t.iss.one/SysadminNotes/408
🚷 Запрещали доступ к чужим процессам:
🚷 https://t.iss.one/SysadminNotes/409
📈 Тестировали диски с помощью fio:
📈 https://t.iss.one/SysadminNotes/431
💻 Разбирали утилиты для шаринга терминала:
💻 https://t.iss.one/SysadminNotes/476
⏱ Выполняли нагрузочное тестирование с siege:
⏱ https://t.iss.one/SysadminNotes/436
🆖 Разбирались с Rate limit в Nginx:
🆖 https://t.iss.one/SysadminNotes/464
⚙️ Ставили ModSecurity для Nginx:
⚙️ https://t.iss.one/SysadminNotes/468
⚠️ Вспоминали о DDOS Deflate:
⚠️ https://t.iss.one/SysadminNotes/466
🔏 Генерировали CAA запись:
🔏 https://t.iss.one/SysadminNotes/465
📉 Знакомились с мониторингом sysdig:
📉 https://t.iss.one/SysadminNotes/472
🖱Приняли на вооружение Linuxbrew:
🖱https://t.iss.one/SysadminNotes/475
И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось.
👨🏻💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост:
https://t.iss.one/SysadminNotes/202
Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓
В этом месяце мы на канале:
🔐 Шифровали сообщение прямо в терминале:
🔐 https://t.iss.one/SysadminNotes/408
🚷 Запрещали доступ к чужим процессам:
🚷 https://t.iss.one/SysadminNotes/409
📈 Тестировали диски с помощью fio:
📈 https://t.iss.one/SysadminNotes/431
💻 Разбирали утилиты для шаринга терминала:
💻 https://t.iss.one/SysadminNotes/476
⏱ Выполняли нагрузочное тестирование с siege:
⏱ https://t.iss.one/SysadminNotes/436
🆖 Разбирались с Rate limit в Nginx:
🆖 https://t.iss.one/SysadminNotes/464
⚙️ Ставили ModSecurity для Nginx:
⚙️ https://t.iss.one/SysadminNotes/468
⚠️ Вспоминали о DDOS Deflate:
⚠️ https://t.iss.one/SysadminNotes/466
🔏 Генерировали CAA запись:
🔏 https://t.iss.one/SysadminNotes/465
📉 Знакомились с мониторингом sysdig:
📉 https://t.iss.one/SysadminNotes/472
🖱Приняли на вооружение Linuxbrew:
🖱https://t.iss.one/SysadminNotes/475
И делали/узнавали ещё много полезных вещей. Отдельно рекомендую посмотреть посты по тегу #nginx - было много хорошего в этом месяце. Без занятных записей в #security так же не обошлось.
👨🏻💻 Кроме того, в связи с последними новостями о Telegram, не лишним будет напомнить о существовании вот этого сводного поста с OpenVPN, 3proxy, SSH туннелями. По всему происходящему, к слову, #естьмнение, и я обязательно доберусь до его изложения, а пока что, ссылка на тот самый пост:
https://t.iss.one/SysadminNotes/202
Делитесь с коллегами и товарищами информацией о канале, приглашайте их присоединиться к нам, делайте форварды в чаты, где людям будет интересен материал. А мы продолжаем работать, друзья. Спасибо всем кто уже составил мне здесь компанию. 🤓
Начнём месяц с Github'а, пожалуй. Вот, например, занятный репозиторий, созданного на основе Ansible инструмента, который за одну команду (как обещают создатели), превратит сервер на Ubuntu в машину противовеса цензуре.
https://github.com/jlund/streisand/blob/master/README-ru.md
Загляните за утренним (обеденным?) кофейком, возможно проект покажется интересным.
#ansible #security
https://github.com/jlund/streisand/blob/master/README-ru.md
Загляните за утренним (обеденным?) кофейком, возможно проект покажется интересным.
#ansible #security
GitHub
streisand/README-ru.md at master · StreisandEffect/streisand
Streisand sets up a new server running your choice of WireGuard, OpenConnect, OpenSSH, OpenVPN, Shadowsocks, sslh, Stunnel, or a Tor bridge. It also generates custom instructions for all of these s...
И вот ещё немного Github'а. Скрипт для авторматической генерации конфигов веб-сервера из заранее описанного .yml. Поддерживаются Apache и Nginx.
https://github.com/devilbox/vhost-gen
#nginx #apache #vhostgen
https://github.com/devilbox/vhost-gen
#nginx #apache #vhostgen
GitHub
GitHub - devilbox/vhost-gen: Configurable vHost generator for Apache 2.2, Apache 2.4 and Nginx
Configurable vHost generator for Apache 2.2, Apache 2.4 and Nginx - devilbox/vhost-gen
📖 Я думал что таким уже давно никто не занимается, но нет. Потребовалось ограничить рефспам атаку на сайт одного из клиентов. По ситуации появилась соответствующая заметка.
📗 Открыть на сайте
#будничное #nginx #refspam
📗 Открыть на сайте
#будничное #nginx #refspam
t.iss.one
Блокируем referrer spam с Nginx
Заметка по мотивам обращения одного из клиентов. Защищаем домен и отбиваем атаку рефспама с помощью Nginx.
Ну что, друзья, я таки смог вырваться в отпуск (начал собираться ещё в конце августа, да), так что в ближайшие недели полторы тут будет чуть тише чем обычно. Но совсем без каких-то интересностей не останемся точно - подкопилось некоторое количество фидбеков, с которыми я вас обязательно познакомлю. Продуктивного и позитивного дня всем. 🤓
This media is not supported in your browser
VIEW IN TELEGRAM
Вот например, приятный для глаз и функциональный мониторинг, который запускается прямо в терминале:
https://github.com/aksakalli/gtop
Ставим с помощью npm:
# npm install gtop -g
#фидбечат #gtop
https://github.com/aksakalli/gtop
Ставим с помощью npm:
# npm install gtop -g
#фидбечат #gtop
Скрипт для автоматической настройки StrongSwan VPN сервера для Ubuntu и Debian.
https://github.com/philpl/setup-strong-strongswan
#фидбечат #strongswan #vpn
https://github.com/philpl/setup-strong-strongswan
#фидбечат #strongswan #vpn
GitHub
GitHub - kitten/setup-strong-strongswan: [UNMAINTAINED] Setup a (really) strong StrongSwan VPN Server for Ubuntu and Debian
[UNMAINTAINED] Setup a (really) strong StrongSwan VPN Server for Ubuntu and Debian - GitHub - kitten/setup-strong-strongswan: [UNMAINTAINED] Setup a (really) strong StrongSwan VPN Server for Ubuntu...
Есть такой проект - TurnKey GNU/Linux - в рамках этого проекта, мы можем скачать дистрибутив с уже готовым для работы определённым набором ПО. Огромным плюсом такого подхода, является то, что администратор может буквально за несколько минут получить систему с уже настроенным софтом.
Скорее всего, вы в курсе о существовании TurnKey, но если нет, загляните сюда за подробностями:
https://www.turnkeylinux.org/
Я же, хотел бы поделиться вот таким вот Github репозиторием:
https://github.com/tklx/
Это проект TKLX - реализация TurnKey Linux на контейнерах. В репозитории доступны серверы БД, веб-серверы, прокси и несколько других готовых к работе приложений.
#turnkey #tklx
Скорее всего, вы в курсе о существовании TurnKey, но если нет, загляните сюда за подробностями:
https://www.turnkeylinux.org/
Я же, хотел бы поделиться вот таким вот Github репозиторием:
https://github.com/tklx/
Это проект TKLX - реализация TurnKey Linux на контейнерах. В репозитории доступны серверы БД, веб-серверы, прокси и несколько других готовых к работе приложений.
#turnkey #tklx
GitHub
TKLX
A container project by TurnKey GNU/Linux. TKLX has 17 repositories available. Follow their code on GitHub.
То что могло бы быть отдельными постами, но в связи с поломкой планшета превращается в публикации-коротыши.
1. В личные сообщения подемтили, что если проект TurnKey вам показался интересным, то стоит так же обратить внимание и на Bitnami. Большое количество разных приложений, работа с облачными сервисами, и всё то что многие любят сегодня.
https://bitnami.com/
2. В уютненьком @safelinux чатике напомнили, что вебинар по Intel ME от Positive Technologies уже прошёл. Тем кто пропустил, но был заинтересован ссылка ниже. Те кто не любит ходить дальше Tlg, зайдите в указанный выше чат, там видео ещё вчера было загружено и готово для просмотра.
https://youtu.be/PiUd2v4bejM
P. S. Никогда не начинайте настройку техники за несколько часов до отъезда. Это как с серверами и их обновлением за несколько часов до нового года. 😔
#фидбечат
1. В личные сообщения подемтили, что если проект TurnKey вам показался интересным, то стоит так же обратить внимание и на Bitnami. Большое количество разных приложений, работа с облачными сервисами, и всё то что многие любят сегодня.
https://bitnami.com/
2. В уютненьком @safelinux чатике напомнили, что вебинар по Intel ME от Positive Technologies уже прошёл. Тем кто пропустил, но был заинтересован ссылка ниже. Те кто не любит ходить дальше Tlg, зайдите в указанный выше чат, там видео ещё вчера было загружено и готово для просмотра.
https://youtu.be/PiUd2v4bejM
P. S. Никогда не начинайте настройку техники за несколько часов до отъезда. Это как с серверами и их обновлением за несколько часов до нового года. 😔
#фидбечат
bitnami.com
Bitnami Secure Images - bitnami.com
Confidence, control and visibility of your software supply chain security with production-ready open source software delivered continuously in hardened images