Рубрика «системное администрирование» - 415

В общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.

Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").

Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.

Читать полностью »

С чего началась эта история: однажды перестала работать синхронизация между двумя серверами. На одном из серверов (под управлением Windows) в расшаренной папке лежали документы, а на втором (под управлением Debian) был поднят апач с webdav. В папке на первом сервере было несколько подпапок. В одной лежали документы, а в остальных были сделаны ярлыки на документы, таким образом документы были рассортированы по подпапкам. И содержимое папки на первом сервере синхронизировалось с папкой на втором сервере следующим образом: копировалось содержимое папки, а затем ярлыки заменялись на файлы, на которые они указывали. То есть, если ярлык, к примеру, указывал на документ corporate-template-65178.doc, то ярлык удалялся, а на его место помещался этот самый corporate-template-65178.doc

Эта система работала три года, а потом внезапно работать перестала, безо всяких предупреждений.
И её надо было во что бы то ни стало починить.

Если еще интересно, вэлкам под кат.
Читать полностью »

Имеем FreeBSD-7.4-RELEASE с apache+nginx+php+mysql

Иногда случается такое что нужно получить удаленный доступ по ssh, но в IPFW данные IP не прописаны. Это может быть вызвано разными причинами. Другие сети и так далее.
Да и открывать доступ всем к ssh нет смысла, так как это прямая угроза безопасности. Смена ssh-порта тоже не даст результата. Вернее даст, но на первое время. Потом сканер портов сделает свое грязное дело и подбор логинов/паролей по ssh продолжится.
Читать полностью »

Всем привет.

Был немного удивлен, что на хабре всего лишь один раз и вскользь упомянуто о шаблонах ZTC для Zabbix. Попробуем исправить это недоразумение.
Автором этих python скриптов является Владимир Русинов, всю инфу о версиях, дать фидбек и прочее можно на сайте «зеленое мышко» greenmice.info.
Сегодня я расскажу как можно использовать эти шаблоны для мониторинга nginx, что думаю актуально для многих.
Читать полностью »

Приветствую, %habrausername%!

Сегодня я бы хотел поделиться своим опытом устранения проблем печати на терминальном сервере Microsoft.

Подробности под катом.
Читать полностью »

Трансплантация IP адресов с сервера на сервер Допустим, есть задача присутствия удаленных сервисов в каком-то локальном сегменте Internet. Или наоборот — задача присутствия локальных сервисов в удаленном сегменте Internet — как кому нравится.

Блоками IP мы не рулим, с BGP заморачиваться не охота.

То есть нам надо предоставить IP адрес IP1_2 сервера SERVER1 как один из действующих IP адресов сервера SERVER2. Ну и тоже самое — для IP1_3 и SERVER3.

Сами сервера могут быть расположены где угодно по отношению друг к другу. Локальные айпишники IP1_1, IP2_1, IP2_2, IP3_1, IP3_2 должны работать и отвечать как ни в чем ни бывало.

Мы просто добавим на сервера SERVER2 и SERVER3 по одному айпишнику с сервера SERVER1. В добавок еще и тоннель зашифруем.
Читать полностью »

Недавно появилась задача реализовать некоторые функции Kerio в linux, а именно авторизацию
пользователей прокси сервера Squid в режиме transparent. Это сделать довольно просто и на
просторах интернета много статей как это сделать, но появилась проблема в режиме transparent
(прозрачный прокси) авторизация не работает. Конечно если у Вас небольшое количество пользователей
это не является проблемой, отключил transparent прописал у всех прокси сервер в браузерах и все.
Но когда пользователей и компьютеров становиться много и прописывать прокси сервер у всех нет
возможности/времени, тут приходиться искать решения. Одно из решений это связка Squid+PHP+NAT.
Читать полностью »

Всем привет.

Компания в которой я работаю довольно динамично развивается, соответвенно и растет количество серверов, пользователей. Вопросы отказоустойчивости становятся все более актуальными, чем ранее.
Исторически сложилось, что некоторые данные лежат в файлах и подключены клиентами к бекендам по NFS. Однако не хотелось, что бы центральный сервер был точкой отказа.
Rsync-варианты отмели сразу. После изучения вопроса и опыта других людей, а также некоторых тестов s3fs, которая к слову была кандидатом №1 на распределенное хранилище, была выбрана GlusterFS.
Читать полностью »

Защита в виртуальной среде: чеклист угроз
Защита данных в виртуальной среде — это «дивный новый мир», означающий серьёзное изменение мировоззрения в отношении понимания угроз. В топике список возможных угроз и мер реакции на них.

Читать полностью »

Комментарий дня: Everyone’s irish on March 17th!Дорогие Читатели!

В ознаменование наступления главного российско-ирландского праздника, дня Святого Патрика, и чтобы вам было легче скоротать ожидание скорого наступления теплой весны, мы решили провести еще один этап нашего традиционного конкурса «Комментарий дня».
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js