Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community |
01.09.2014, 04:27 | #1 |
Продвинутый
|
ContactRoot: свяжитесь с нашим админом
Всем привет!
Сплоченная команда сисадминов предлагает свои услуги. В публичном режиме мы начали работать в прошлом году, но несколько клиентов с этого форума уже были. Небольшой список задач, которые мы выполняли:
По фининансовым расчетам и некоторое подобие SLA/TOS: Возможна оплата после работы в случае предварительного подтверждения вашей личности в пм. Постоянным клиентам - никакой бюрократии. Работа в кредит, оплачивайте по мере совести. Доверие - наше все. В контактах реагируем в течение часа по рабочему времени (GMT+3 ). Это то, что мы гарантируем. Обычно в онлайне продолжительное время и в будни, и в выходные. Если вы хотите получить нашу консультацию бесплатно, создавайте тему в "Администрировании" и кидайте ссылку на нее в личку или другие контакты. Ответим не мы, так кто-нибудь другой. Наши контакты: jabber: slava@contactroot.com (billing, консультации) skype: contactroot (presale-консультации) icq: 657324100 (presale-консультации) Стучите куда удобнее. Разберемся. |
15.09.2014, 21:12 | #2 |
Продвинутый
|
За последнее время были две примечательные уязвимости в популярных бесплатных продуктах.
Отказ в обслуживании в прокси сервере Squid. Подвержен целый ряд версий 3.х данного продукта. В результате ошибки в обработке запросов удаленный пользователь может аварийно завершить работу системы. Для решения проблемы установите последную версию с сайта производителя. Подробности - http://www.squid-cache.org/Advisories/SQUID-2014_2.txt Неавторизованное изменение данных в панели Webmin. Подвержена вся линейка 1.х панели. Уязвимость позволяет удаленному пользователю уничтожить произвольные файлы на сервере. Решение проблемы - установить новую версию с сайта производителя. Подробности по проблеме - https://sites.utexas.edu/iso/2014/09...oot-in-webmin/ Нашими специалистами осуществляется установка и настройка всего класса проксирующего ПО: Varnish, Squid, Traffic Server, HAProxy, Nginx, Polipo, а так же настройка их взаимодействия с веб-сервером и другим вашим специфическим ПО. Имеется большой опыт создания высокопроизводительных систем на Linux. Многие обращаются с просьбами установки бесплатных панелей управления Linux сервером. Обычно мы ставим Webmin, Aegir, ISPConfig, Sentora и ZPanel наряду с популярными коммерческими. Все они имеют бесплатную лицензию, и важно самим следить за безопаностью и новыми релизами, во избежании взломов и потерь данных. |
24.09.2014, 03:05 | #3 |
Продвинутый
|
В последнее время в пост-сноуэденовскую эпоху люди стали активно переходить на HTTPS, но сразу сталкивались с визуально заметным снижением скорости загрузки и общего отклика сайта. Однако, при грамотном подходе к настройке сервера можно значительно подтянуть скорость открытия страниц, чтобы это перестало доставлять дискомфорт (с такой задачей люди обращаются к нам).
Для ее решения в первую очередь мы подключаем SPDY. SPDY - протокол прикладного уровня, разработанный Google-ом. Основной сутью протокола является снижение времени загрузки страниц за счет мультиплексирования передачи файлов, чтобы при этом требовалось по одному соединению на каждого клиента. По данным Google использование протокола позволяет сократить скорость загрузки страницы на 30% в зависимости от ее типа. Наверстать лишние секунды помогает включение OCSP - протокол для проверки статуса сертификата. По умолчанию браузер обращается к регистратору, выдавшего SSL сертификат, для уточнения действенности сертификата, так как сам по себе он может быть и валидным, но на самом деле по какой-то причине отозванным центром сертификации. На это уходит некоторое время клиента. Задачу проверки валидности можно переложить на собственный веб-сервер, который с определенной периодичностью будет сам обращаться к центру сертификации за подписанным ответом, который затем будет выдаваться во время установки сессии с клиентом, исключая таким образом необходимость в самостоятельном запросе клиентом сведений о состоянии сертификата. Самой накладной частью при работе с TLS/SSL является само инициирование соединения, поэтому уменьшить время отклика последующих запросов можно включив кэширование параметров сессии. В случае с SPDY это поможет уменьшить затраты при перезагрузке страницы, т.е. в ситуациях, когда после закрытого ранее соединение создается новое. Также не забываем включать STS (Strict Transport Security) - специальный заголовок, заставляющий браузер самостоятельно делать запросы исключительно по HTTPS в течение заданного времени. Немного о грустном. В nginx в версиях 0.5.6 - 1.7.4 выявлена проблема в работе с SSL кэшем, позволяющая повторно использовать закэшированные SSL сессии для проведения MITM атак. Проблема исправлена в версиях nginx 1.7.5 и 1.6.2. На данный момент пакет nginx в Debian wheezy является уязвимым, исправления выложены только в репозитории squeezy lts и sid. |
02.10.2014, 03:21 | #4 |
Продвинутый
|
К нам периодически обращаются хостинг-компании с различными вопросами, и у нас скопился неплохой опыт в администрировании и разработке WHMCS как самой системы, так и дополнений\хуков. Несколько примеров выполненных работ:
- Hook для уведомления о новых тикетах, новых ответах и назначениях тикетов по Jabber-у - Серверный модуль для Leaseweb, Hetzner и ряда других ДЦ. - Серверный модуль для Proxmox - как KVM (qemu), так и OpenVZ. - Расширение для сокрытия значений настраиваемых опций у некоторых продуктов. Удобно, если у вас есть настраиваемая опция, например, HDD (250ГБ, 500ГБ, 1ТБ), которая есть у большинства продуктов. Отличие лишь в том, что для одних недоступно значение в 500ГБ, у некоторых невозможен апгрейд до 1ТБ. Вместо того, чтобы создавать на каждый такой продукт отдельную опцию HDD_250ГБ_500ГБ, HDD_250ГБ_1ТБ в админке WHMCS на странице расширения для конкретного продукта можно отметить ненужное значение - оно пропадет из списка во время конфигурации. - Расширение для создания описаний ДЦ. Удобно для реселлеров, которые продают серверы в разных ДЦ и им хочется дополнительно на странице группы продуктов выводить описание ДЦ, время установки серверов. - Модуль отзывов. Добавляет страницу с отзывами, пополняемые в админке WHM. Дает возможность собрать все отзыва о вашей фирме с разных мест на одной странице вашего сайта. Указывается текст, дата, имя пользователя и внешняя ссылка на отзыв. Нами осуществляется сопровождение серверов с установленным whmcs, выполнение настроек на противодействию взлому и проведения регулярных мониторингов активности. |
09.10.2014, 02:20 | #5 |
Продвинутый
|
Зачастую хочется, чтобы запускаемое вами приложение было изолировано от вашего окружения и было заперто в песочнице, не имело прямого доступа к файлам.
Например, если на Linux машине вы запустите Firefox и откроете диалог Open File - вы без проблем сможете открыть /boot/grub/grub.cfg и много других файлов. Другой пример - Skype, которым пользоваться приходится, однако полное понимание о том какие файлы Skype запрашивает и просматривает, отсутствует. Это вызывает некоторую обеспокоенность у людей, которые дорожат своею приватностью. Запускать Skype в отдельной виртуальной машине VirtualBox в которой не будет ничего кроме Skype достаточно неудобно, поэтому мало кто будет пользоваться таким решением. На помощь приходит инструмент firejail (http://l3net.wordpress.com/projects/firejail/) . Это достаточно простое приложение, позволяющее создавать на лету песочницы, изолируя приложения возможностями Linux ядра начиная с 3-ей версии (linux namespaces). Пользоваться firejail крайне удобно. Достаточно запустить firejail из командной строки передав в качестве аргумента приложение, который вы хотите поместить в sandbox. Например: Код:
firejail firefox Мы производим консультации по повышению безопасности ваших систем, и даем конкретные рекомендации. Осуществляем помощь в интеграции уже готовых решений в вашу инфраструктуру и ликвидацию "узких мест" внедренных ранее решений. Наши контакты: jabber: slava@contactroot.com (billing, консультации) skype: contactroot (presale-консультации) icq: 657324100 (presale-консультации) |
17.10.2014, 20:00 | #6 |
Продвинутый
|
Puppet — крайне удобная система автоматизация повседневной рутины. К нему достаточно быстро привыкаешь и вместо написания bash скрипта уже скорее напишешь модуль для puppet. Она позволяет просто настроить и впоследствии быстро управлять сетью серверов на базе любой ОС.
Узлы сети, управляемые с помощью Puppet, периодически опрашивают сервер, получают и применяют внесённые администратором изменения в конфигурацию. Подробнее о технологии в нашем блоге по ссылке: http://contactroot.com/nemnogo-o-vag...rimere-puppet/ , и в Википедии:https://ru.wikipedia.org/wiki/Puppet У нас имеется большой опыт создания кластеров серверов на основе современных технологий. Если у вас уже имеется несколько серверов, за которыми требуется периодически следить, то мы можем помочь автоматизировать большую часть рутины за счет применения Puppet и смежных технологий. Вполне вероятно, что после успешного внедрения этого решения вы сможете управлять вашей инфраструктурой без привлечения стороннего администратора (либо сократив затраты на привлечения оных). |
27.10.2014, 03:28 | #7 |
Продвинутый
|
Продолжаем делать обзоры набирающих популярность технологий. В этот раз хотим рассказать о средстве виртуализации Docker. При помощи данного ПО можно создать изолированное виртуальное окружение для запуска любого ПО в нём, на уровне ОС задав любые параметры контейнера + легко управлять ими (создавать, изменять, удалять). На данный момент ведутся работы по интеграции поддержки Docker в фреймворк Hadoop, что в ближайшем будущем даст лучшую производительность, чем при изпользовании KVM виртуализации.
Иногда при работе с данной технологией требуется создать собственный образ с набором приложений. Для этого очень легко использовать Puppet. Подбронее об использовании двух технологий для решения одной задачи читайте в нашем блоге - http://contactroot.com/obrazyi-docke...oshhyu-puppet/ Минутка юмора. Часто руководство не даёт деньги системным администраторам на расширение инфраструктуры. Представляем вам отличное решение проблемы: создание презентации с визуализатором логов Logstalgia. После просмотра подобных роликов ваш шеф будет расположен к покупке новых серверов! https://www.youtube.com/watch?v=HeWfkPeDQbY Подробнее по ссылке: http://contactroot.com/minutka-prekrasnogo |
06.11.2014, 03:09 | #8 |
Продвинутый
|
Представляем небольшой обзор критических уязвимостей, появившихся за последнее время.
1) Компрометация системы в OpenSSH. Уязвимость существует из-за того, что приложение позволяет предоставлять пользователям SFTP-доступ с ограниченными правами при использовании команды «ForceCommand internal-sftp». Удаленный пользователь может выполнить произвольный код на целевой системе. Подробности по проблеме и методы ее устранения: http://seclists.org/fulldisclosure/2014/Oct/35 2) Отказ в обслуживании в Joomla. Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за неизвестной ошибки. Подробности не разглашаются. Больше информации: http://developer.joomla.org/security...f-service.html 3) Раскрытие важных данных в SSL. Уязвимость существует из-за ошибки в реализации протокола. Удаленный пользователь может путем осуществления MitM-атаки получить доступ к зашифрованным соединениям. Для устранения уязвимости необходимо полностью отключить использование SSL в пользу TLS! Дополнительная информация по ссылке: https://technet.microsoft.com/en-us/...y/3009008.aspx 4) Отказ в обслуживании в OpenSSL. Уязвимость существует из-за того, что SSL/TLS/DTLS сервер неправильно осуществляет проверку session ticket. Удаленный пользователь может вызвать утечку памяти и спровоцировать отказ в обслуживании. Подробности: https://www.openssl.org/news/secadv_20141015.txt 5) Неавторизованное изменение данных в Drupal. Уязвимость позволяет удаленному пользователю осуществить SQL-инъекцию. Для устранения установите последнюю версию с сайта производителя. Информация с официального сайта: https://www.drupal.org/SA-CORE-2014-005 Наш head-администратор продолжает публиковать материалы по современным технологиям, статья "Виртуальные ресурсы в Puppet" была размещена на Habrahabr. Если у вас есть какие либо вопросы по данной теме - наш специалист бесплатно ответит на них в комментариях к этой статье. |
19.11.2014, 03:45 | #9 |
Продвинутый
|
В последнее время к нам часто поступают вопросы касательно аудита безопасности. Хотим пояснить, что его мы производим только при наличии SSH root доступа к серверу. "Заочным" анализом уязвимостей веб-сайтов мы не занимаемся.
Один из наших администраторов теперь является волонтером популярного сайта ServerFault - http://serverfault.com/users/245332/glueon/ Наши контакты: jabber: slava@contactroot.com skype: contactroot icq: 657324100 new aim: glueon@contactroot.com new yim: glueon@yahoo.com |
04.12.2014, 16:29 | #10 |
Продвинутый
|
Нами была реализована полуавтоматическая система рассылки почты (opt-in), которая использовалась в инфраструктуре клиента. В последствии от данного решения было решено отказаться, однако данный продукт получился достаточно хорошего качества.
Перечислим что он в себя включает: 1) Настройка серверов под рассылку (по ТоС почтовых систем, прописывание корректных записей). 2) Тестирование доходимости (inbox и spam папки популярных систем) сообщений. 3) Автоматическая проверка доменов и адресов на Black Lists (c автоматическим извещением в icq/jabber/email). 4) Скрипт рассылки. (SMTP, рассылка по расписанию) 5) Настройка сбора почты в единую почтовую программу на удаленном рабочем столе. (windows rdc) 6) Live-time контроллирование рассылки ваших писем. (по запросу) 7) Шаблонизатор текстов писем. Система достаточно гибкая, и наши системные программисты могут добавить/убрать некоторые модули по желанию заказчика. |