weril – Page 4

Linux: user & group management

Короткий список команд для создания пользователя

Создание пользователя. В файле /etc/passwd хранятся все пользователи (бекап в /etc/passwd-).

sudo useradd -m -s /bin/bash weril
sudo passwd weril
sudo login weril - тестово логинемся
sudo passwd -e weril - (expire) делаем пароль протухшим (после авторизации пользователя заставят поменять пароль)
# sudo passwd -l weril - (lock) блокируем пользователя
sudo vi /etc/ssh/sshd_config - добавляем в AllowUsers в sshd (AllowUsers <username>@*)
sudo /etc/init.d/sshd

Linux: permissions/права/sudo

POSIX based file permissions пришли еще с UNIX (поэтому актуальны и для MacOS), они определили формат назначания прав read/write/execute для user/group/others; подробнее ниже
ACL based file permissions позволяют назначать разные права для разных пользователей и групп, в отличии от классического POSIX подхода; подробнее ниже
Удобный калькулятор разрешений в десятичом виде в зависимости от типа прав (r/w/e) и scope (u/g/o)

Грамотные админы в повседневной работе не работают из под root, а заходят в эту учетку только если нужно что-то сделать – защита от случайных поломок, безопасность (как минимум пароль нужно ввести для входа под root)
Изначально ownership придуман чтобы собственник даже в случае некорректной установки прав не потерял доступ

sudo/su

su – тоже самое что su root.

WordPress разные хинты

Разное

Usage статистика WordPress по используемым версиях WordPress, PHP, Mysql, locale, etc
Для проигрывания GIF нужно выбирать full size при insert картинки в пост, иначе она будет статичной
Чтобы постить source-code почти без изменений (скобки пришлось подменять все равно) нужно использовать плагин SyntaxHighlighter.

SberCloud (Enterprise, Advanced)

Huawei облако на базе openstack, в вакансии на главного инженера облака: Практический опыт работы с облачными решениями VWware, OpenStack;
Используют допиленный OpenStack с модулями Nova, Cinder, Neutron

Помимо стандартных vpc без переподписки в general-purpose instance/flavor используются переподписанные ядра, есть три разных instance, необходимых для разных баз данных.

Network, Security: DoS/DDoS

Самые мощные атаки РФ (по миру актуальная атака на клиента CF 8 tbps в конце статьи): 150 гбит / 1.5 терабит ; 15 MPPS / 150 MPPS ; сутки / трое в 2023 / 2024 соответственно

Неплохой базовый мануал (часть инфы ниже оттуда) что такое DoS от CISA / FBI и крупных компаних в IT (Akamai, Cloudflare, Google) с меткой TLP:clear на безграничное распространение: Understanding and Responding to Distributed Denial-of-Service Attacks_508c

The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint distributed denial-of-service (DDoS) attack guidance

Очень хороший мануал от Juniper с описанием атак и методов защиты от них в JunOS
БИФИТ Mitigator – Российское решение на базе стандартных серверов
Статья по тюнингу параметров ядра Linux для большей устойчивости в DoS/DDoS сценариях (настройки серверные)
Некоторое саммари:
- сценариев DoS атак не мало, даже в крупных провайдерах регулярно происходят инциденты, связанные с падением каких-то сервисов из-за DoS (BRAS – от внешнего флуда, от внутреннего флуда/запросов)
- для базы защиты можно и самому fastnetmon поднять, а от target атаки за много $$$ и radware/arbor не спасет, только центры очистки или свой cdn грамотный (и то не всегда)
- линк с чисткой может легко стоить х10 и х100 от обычного

DOS/DDOS теория

DOS/DDOS (dns lookup, half-open attacks like syn flood; ddos = dos + botnet => flood guard) – отправляем большое количество каких-либо пакетов/запросов/ответов для отказа в обслуживании сервиса из-за нехватки ресурсов (процессинговых, памяти, сетевых и проч).

Читать дальше

Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security, WAF

Популярные WAF международные
- Imperva WAF
- Radware AppWall
- Akamai Kona Site Defender
- Akamai Web Protection
- F5 Advanced WAF
- FortiWeb WAF
- Barracuda WAF
Популярные WAF РФ
- Nemesida WAF
- Вебмониторэкс
- PT AF (Application Firewall)

Про Network: Proxy (direct/redirection, transparent) отдельная статья.

Основные подходы к защите веб-сайтов

1.

Читать дальше

ICMP: ping/hping, tracert/traceroute

ICMP NOTES

ICMP types, а еще лучше описаны все на сайте IANA
- 0 – echo reply
- 8 – echo (PING) request
- 3 – unreahable (net/host/port/etc)

serv:~# netstat -us
IcmpMsg:
InType0: 10144
InType3: 2514
InType8: 540567
OutType0: 540567
OutType3: 2472
OutType8: 10224
<output omitted>

обычно блокируются все типы кроме 0 и 8-го, особенно это касается
- redirect – redirection, части используется в атаках
- unreachable типа 3

Пример
0 Net Unreachable [RFC792]
1 Host Unreachable [RFC792]
2 Protocol Unreachable [RFC792]
3 Port Unreachable

PING

Параметры по умолчанию

Huawei: не 32 bytes, TTL 255, отправляется 4 пакета
Windows: 32 bytes, TTL 64 для внешних пакетов и 128 для 127.0.0.1, отправляется 4 пакета
Unix: 64 bytes, TTL 64, отправляется анлим пакетов

Ping count и результат вида 1 (success)/0 (fail) на основе количества принятых ответов.

Читать дальше

Носители HDD/SSD

Конспект вебинара HonorCup E=DC2 для сдачи HCNA Storage.

hdd

Это обычная вещь для Seagate: частота ошибок чтения сообщает любое значение, кроме нуля – это сбивает с толку и вы можете задаться вопросом, не сломался ли диск. https://s.i.wtf – Этот калькулятор поможет вам понять, как правильно интерпретировать эти числа.

Читать дальше

IoT, протоколы, умный дом и умные девайсы

Про безопасность IoT устройств читаем тут. Короткий ролик про IoT протоколы от Droider.

SMART CITY

IoT вплотную внедряется – в Минске уличное освещение управляется и мониторится через 3G/LTE ОПСОСа. Такое освещение более экономно. В довольно древнем ролике по ссылке столбы от IntelliStreets освещения супер-digital, причем с аплинком по radio (видимо 3G/LTE) и функционалом: возможность записи/мониторинга ситуации на дорогах (камеры/микрофоны), громкоговорители, небольшие встроенные digital рекламные банеры, небольшие digital указатели.

Читать дальше

Linux, BSD: использование tmux

Статья по использованию screen
tmux – terminal multiplexer
(screen, tmux) У screen есть мощные альтернативы (напр. tmux, Byobu), но их нужно устанавливать, а screen часто бай-дефолт установлен в системе (есть даже на MacOS!). Почему стоит использовать tmux вместо screen:
- screen deprecated, по крайней мере для RHEL-based систем.