Сообщения afanasiy

Действие на основе анализа логов. fail2ban?

Форум — Admin

Есть почтовый сервер с postfix. fail2ban настроен и работает.

Нужно, чтобы при общем количестве сообщений,больше 100 например, со всех ip типа «SASL LOGIN authentication failed» включались другие правила iptables. Т.е. мне нужно банить не конкретный ip, а полностью менять правила при масштабных брутфорсах.

fail2ban предполагает, что в каждой строчке фильтра должен быть указан тэг HOST, если я правильно понял:

The <host> tag is how you tell fail2ban which host was connecting, 
so it has to be present in every line of failregex. 
If it's not, fail2ban will issue an error message about "No 'host' group".

Возможно это сделать при помощи fail2ban? Или может есть еще какой-нибудь подобный софт?

fail2ban

afanasiy
(03.05.14 21:33:43 MSK)

4 комментария

Нубский вопрос по lvm

Форум — Admin

Есть некий сервер с тремя разделами:

/boot
/
swap

Корневой раздел бекапится со снапшота.

Собственно вопрос: при создании снапшота нужно указывать опции -p r (рид онли)?

Не совсем понимаю логику lvm. Если это снапшот, то туда итак вроде ничего писАться не должно?

lvm

afanasiy
(20.02.14 10:05:40 MSK)

15 комментариев

Вышел Zabbix 2.2.2

Новости — Open Source

12 февраля 2014 вышла новая стабильная версия системы мониторинга корпоративного уровня с открытым исходным кодом Zabbix 2.2.2

Основные исправления безопасности:

Устранена ошибка, из-за которой можно было выдавать себя за другого пользователя, передавая другое имя на запрос user.login, если zabbix настроен с аутентификацией HTTP.
Устранена ошибка с паролями аккаунтов супер-администраторов, при использовании LDAP аутентификации.
Устранена ошибка, из-за которой пользователь с аккаунтом типа «Zabbix Admin» мог изменять тип оповещения для любого пользователя.

Добавлено:

Синхронизация проверок ICMP, основанная на интерфейсе элемента данных, что должно уменьшить количество ping запросов в большинстве случаев.
Добавлена поддержка макроса HOST.PORT к оповещениям типа internal/trigger и names/descriptions
Обновлены локализации, включая русскую

>>> Подробности

zabbix

afanasiy
(18.02.14 10:52:44 MSK)

38 комментариев

Debian, война продолжается

Форум — Talks

https://lists.debian.org/debian-devel/2014/02/msg00462.html

«Таких людей, как Адриан, которые настаивают на том, чтобы systemd стала единственной системой инициализации в Debian, нужно физически наказать»

«Это диктатура... Они говорят, что хотят «помочь Debian». Видимо, так же, как церковь в средние века «помогала» людским душам, пытая и сжигая людей заживо»

«Debian существует для людей. Это не религия. И это не скульптура. Они говорят, что хотят «улучшить Debian». Но Debian существует не ради самого себя, а ради всех нас. Адриан и другие сторонники Systemd пытаются отобрать Debian у нас и отдать его своим «пользователям»»

afanasiy
(12.02.14 12:47:54 MSK)

144 комментария (стр. 2 3)

TLS bacula паранойя

Форум — Security

Bacula Director и Storage Daemon развернуты в локалке на машине с серым ip. На него бекапятся сервера из локалки.

Так же есть один отдельно стоящий веб-сервер с внешним ip. На нем клиент bacula. Он бекапится с использованием сертификата. Опции:

TLS Certificate = /etc/bacula/ssl/server.domain.ru.crt
TLS Key = /etc/bacula/ssl/server.domain.ru.key
TLS CA Certificate File = /etc/bacula/ssl/ca.crt

Соответственно на шлюзе правило открывающее порт 9103 (bacula-sd) для ip этого веб-сервера.

Вопрос: Чем грозит такая схема, если злой дядя рутанет веб-сервер, и соответственно получит доступ к конфигу клиента бакулы и сертификатам?

bacula, tls, паранойя

afanasiy
(10.02.14 15:54:39 MSK)

3 комментария

Бэкап базы zabbix

Форум — Admin

zabbix стоит на старой слабой машине, другой попросту нет.

База бекапится при помощи mysqldump.

Беда в том, что на время бекапа (около 10 минут) zabbix перестает отвечать и срабатывают все триггеры о недоступности серверов.

Добавил пока в скрипт остановку сервиса zabbix перед началом, и запуск после, но это не кошерно.

Как правильно бекапить zabbix?

mysqldump, zabbix

afanasiy
(31.01.14 10:14:44 MSK)

37 комментариев

Cамотык для брутфорсера.

Форум — Security

Реально ли организовать защиту postfix по принципу описанному здесь? http://habrahabr.ru/post/88461/

Чтобы время бана было пропорционально количеству попыток перебора.

Мною занялся какой-то кулхацкер, второй день уже мусолит с нескольких десятков IP, и их количество постоянно увеличивается.

И вообще, как вы защищаете свои постфиксы?

fail2ban, postfix

afanasiy
(24.12.13 09:48:28 MSK)

35 комментариев

phpmyadmin проверить на наличие взлома

Форум — Security

Есть внутренний сайт на debian wheezy в корпоративной локалке, к нему есть доступ снаружи только через 80-й порт.

Из-за ошибки в конфигурации долгое время наружу так же была оттопырена вебморда phpmyadmin.

в логах множество записей вида:

198.204.250.82 - - [03/Dec/2013:04:39:04 +0400] "GET //admin/phpmyadmin/index.php HTTP/1.1" 404 537 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:06 +0400] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:10 +0400] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:11 +0400] "GET //phpmyadmin1/index.php HTTP/1.1" 404 532 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:11 +0400] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 403 543 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:12 +0400] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 540 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:12 +0400] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 540 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:14 +0400] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:21 +0400] "GET //phpmyadmin2/index.php HTTP/1.1" 404 532 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:23 +0400] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 403 543 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:26 +0400] "GET //phpmyadmin/ HTTP/1.1" 403 526 "-" "-"

с разных ip. Побаиваюсь, что какому-нибудь китайцу удалось таки чего-нибудь поломать.

Как проверить cервер на наличие взлома, куда смотреть?

Или это паранойя?

apache2, phpmyadmin

afanasiy
(16.12.13 14:18:12 MSK)

6 комментариев

Где нонче берут модуль osf для iptables?

Форум — Admin

Debian 7.1 amd64

По сети гуляет статья с изложением как задействовать osf, только ссылки там устаревшие.

На ioremap.net/projects/osf/ страница со ссылкой «The latest release is always available in archive» перенаправляет сама на себя.

На netfilter.org ссылаются на xtables-addons.

xtables-addons стоит, только osf там нет. :(

cat /proc/net/ip_tables_matches
state
conntrack
conntrack
conntrack
limit
geoip
multiport
psd
udplite
udp
tcp
icmp

iptables

afanasiy
(06.11.13 12:07:37 MSK)

2 комментария

Брутфорс или скан?

Форум — Security

postfix лог:

postfix/smtpd[14833]: connect from unknown[209.131.201.184]
postfix/smtpd[14833]: lost connection after UNKNOWN from unknown[209.131.201.184]
postfix/smtpd[14833]: disconnect from unknown[209.131.201.184]
postfix/smtpd[14833]: warning: hostname 184.201.131.209.static.egix.net does not resolve to address 209.131.201.184: Name or service not known

dovecot лог:

pop3-login: Info: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=209.131.201.184, lip=192.168.0.100, session=<+LTcueTpdwDRg8m4>

таких сообщений множество было пока не отфутболил говнюка по ip. Боюсь, что вернется с другого адреса. Это обычный скан или что-то посерьезней?

dovecot, postfix

afanasiy
(29.10.13 22:04:28 MSK)

13 комментариев

Disaster Recovery Bacula

Форум — Admin

Кто-нибудь пользует сабж?

Текущая версия бакулы 5.2.13 а исходники bacula-rescue 5.0.2. Ее забросили? Или bacula-rescue 5.0.2 можно собирать с более поздними версиями самой бакулы?

И стоит вообще заморачиваться?

bacula

afanasiy
(17.10.13 17:21:39 MSK)

Ограничение скорости скачивания apache

Форум — Admin

Есть отдельно стоящий веб-сервер.

Debian 7.1

Apache2

PHP5

На нем сайт, с которого иногда качают большие файлы. Каким образом лучше всего ограничить скорость раздачи?

afanasiy
(10.10.13 17:02:32 MSK)

3 комментария

Bacula SD восстановить без базы

Форум — General

Bacula Director + MySql на одной физической машине.

Bacula SD на второй физической машине.

Если вторая машина попадет в руки злодеев, смогут они восстановить данные из хранилища без бакула-директора и базы?

afanasiy
(07.10.13 10:37:27 MSK)

5 комментариев

Изменить размер окна wmplayer

Форум — Web-development

Не очень умею html и css. Это шаблон плагина от скрипта галереи Piwigo. Выводит видео в оригинальном размере. Мне нужно заставить его выводить окно с заданным размером. Чтобы не вылазило за края экрана. Как это сделать?

<!-- /charlie_wmplayer.tpl -->
{*
 If you don't plan to play Video via Windows Media Player on your web site, -->
 change player by the one you want -->
 Based on documentation from http://msdn.microsoft.com/library/en-us/wmplay10/mmp_sdk/usingtheplayercontrolinawebpage.asp
*}
<br />
{assign var="main_width" value="`$fileinfo.video.resolution_x+$by_style+$by_style`"}
<div id="charlie" style="height: {$fileinfo.video.resolution_y}px; width:{$main_width}px; padding-top: 0px; margin-top: 0px;">
        <div class="{$curtain}_1" style="padding-left:{$by_style}px;">
                <div class="{$curtain}_2" style="padding-right:{$by_style}px;">
                        <object id="MediaPlayer" height="{$fileinfo.video.resolution_y}" width="{$fileinfo.video.resolution_x}" alt="object {$ALT_IMG}"
                          classid="CLSID:22D6f312-B0F6-11D0-94AB-0080C74C7E95"
                          standby="Loading Windows Media Player components..."
                          type="application/x-oleobject"
                          codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=6,4,7,1112">
                                  <param name="filename" value="{$SRC_IMG}">
                                  {if ($Charlies.showplayer==1)}<param name="showcontrols" value="true">{/if}
                                  {if ($Charlies.autoplay==1)}<param name="autostart" value="true">{/if}
                                  {if ($Charlies.loop==1)}<param name="loop" value="false">{/if}
                                  {if ($Charlies.autoload==1)}<param name="animationatstart" value="true">{/if}
                                  <param name="showdisplay" value="false">
                                  <param name="transparentatstart" value="true">
                                  {if ($Charlies.showloading>0)}<param name="showstatusbar" value="true">{/if}
                                  <param name="enablecontextmenu" value="true">
                                  {if ($Charlies.full==1)}<param name="fullscreen" value="true">{/if}
                                  <param name="stretchtofit" value="true">
                                  <param name="uimode" value="none">
                                  <param name="allowchangedisplaysize" value="true">
                                  <param name="autosize" value="true">
                                  {if ($Charlies.volume!='')}<param name="volume" value="{$Charlies.volume}">{/if}
                                  <param name="type" value="video/x-ms-asf-plugin">
                                  <param name="pluginspage" value="http://www.microsoft.com/Windows/Downloads/Contents/Products/MediaPlayer/">
                        <!--[if !IE]> <-->
                                  <embed pluginspage="http://www.microsoft.com/Windows/Downloads/Contents/Products/MediaPlayer/"
                                                src="{$SRC_IMG}" {if ($Charlies.showplayer==1)}showcontrols="true"{/if}
                                                {if ($Charlies.autoplay==1)}autostart="true"{/if}
                                                {if ($Charlies.loop==1)}loop="false"{/if}
                                {if ($Charlies.autoload==1)}animationatstart="true"{/if} showdisplay="false" transparentatstart="true"
                                        {if ($Charlies.showloading>0)}showstatusbar="true"{/if}
                                                enablecontextmenu="true" width="{$fileinfo.video.resolution_x}" height="{$fileinfo.video.resolution_y}"
                                        {if ($Charlies.full==1)}fullscreen="true"{/if} stretchtofit="true" uimode="none" id="embedplayer"
                                        allowchangedisplaysize="true" autosize="false" displaysize="mpfittosize"
                                        autorewind="true" {if ($Charlies.volume!='')}volume="{$Charlies.volume}"{/if} type="video/x-ms-asf-plugin">
                        <!--> <![endif]-->
                        </object> <!-- embed is needed for Opera and FireFox -->
                </div>
        </div>
</div>
{html_head}
<link rel="stylesheet" type="text/css" href="{$CHARLIES_PATH|@cat:'charlies.css'}">

afanasiy
(22.08.13 14:56:33 MSK)

mdadm сменить name

Форум — General

mdadm --detail --scan

ARRAY /dev/md/0 metadata=1.2 name=server1:0 UUID=3648b555:f8fa8d7d:013ee7cf:e9856322

На массиве корневой раздел. Как безболезненно сменить name=server1 на name=server2?

mdadm

afanasiy
(22.08.13 11:29:37 MSK)

NFS или CIFS? Большое количество файлов

Форум — General

Делаю корпоративную галерею.
Система:
Pentium IV (socket 775)
1GB RAM (DDR2)
Софтовый RAID 1 (2x250GB SATA II)
Debian 7.1
PHP: 5.4.4-14+deb7u3
MySQL: 5.5.31-0+wheezy1
Piwigo 2.5.2

Сами фотки будут лежать на сетевом хранилище, его можно примонтировать как NFS или как CIFS.

Размер NAS - 3Tb.

Фоток будет очень много, десятки - сотни тысяч. Отсюда вопросы:

1) Как лучше примонтировать NAS? NFS или CIFS? Учитывая огромное количество фотографий. Какая фс лучше справится?

2) Не начнет ли со временем тупить MySQL из-за такого большого количества записей в базе?

cifs, nfs

afanasiy
(21.08.13 15:18:02 MSK)

4 комментария

USB/IP нужно проверенное решение

Форум — General

Кто может похвастать стабильной и долгой работой сабжа с большим количеством флешек? На wheezy вообще не смог эту штуку завести, на squeeze работает, но через пень-колоду. Флешки отваливаются, постоянно нужно перезапускать демон и заново их биндить. Может в других дистрах счастье будет?

usbip

afanasiy
(03.07.13 17:25:12 MSK)

5 комментариев

Кто в 4-х кедах обрабатывает события с пульта?

Форум — Desktop

Fedora 18, KDE 4, TV тюнер Beholder

По старинке накатил lirc, настроил. Жму кнопки на пульте и обнаруживаю, что работают только пауза в амарок и громкость, от которой впрочем только ползунок бегает, а сам звук не регулируется.

Убиваю lircd, жму кнопки, и они опять же работают как выше написал. Т.е. кто-то слушает кнопки с пульта вместо lirc. Кто это?

Последний раз я был в кедах около восьми лет назад, да и lirc настраивал примерно тогда же. Теперь в KDE есть что-то свое?

beholder, kde, lirc

afanasiy
(26.06.13 22:34:37 MSK)

WMR to BTC

Форум — Talks

На метабанке отключили обмен с вебмани. Где можно быстро поменять?

bitcoin

afanasiy
(24.06.13 11:35:22 MSK)

8 комментариев

Как максимально скрыть свои действия в системе?

Форум — Security

Имеется в виду не на чужой взломанной машине, а на своей. Чтобы в случае (взлома) попадания компа в плохие руки, на нем не было ничего.

Где остаются следы, помимо всего, что в /var/log? Интересуют логины тех, кто подключался локально, логины и ip, с которых подключались по ssh, команды, вводившиеся в консоли и т.п.

И как все это вычистить?

паранойя

afanasiy
(28.05.13 13:02:52 MSK)

21 комментарий

← назад

следующие →

RSS подписка на новые темы