Заметка на память...
Как проверить поддерживает ли OpenSSL вашего сервера конкретную версию TLS:
echo | openssl s_client -connect google.com:443 -tls1_2 2>&1 | grep Protocol
Опция -tls1_2 отвечает как раз за то, какую версию протокола проверяем.
Вывод должен быть что-то типа:
Protocol : TLSv1.2
Я тут все пытался после перехода на MacOS настроить на домашнем сервере TimeMachine для создания и хранения резервных копий, но все никак не получалось и, наконец, сегодня я наткнулся на готовый образ с серверной частью TimeMachine.
Поднялось и все заработало как часы. Вот кусок конфига для docker-compose:
timemachine:
image: odarriba/timemachine
restart: always
container_name: timemachine
ports:
- 548:548
- 636:636
volumes:
- /mnt/Data/timemachine:/timemachine
После старта надо создать пользователя:
docker exec -ti timemachine add-account USERNAME PASSWORD timemachine /timemachine
USERNAME и PASSWORD поменяйте по своему усмотрению.
Теперь можно использовать этот диск, для этого идем в Finder, нажимаем Cmd+K и вводим протокол и адрес сервера (что-то типа afp://172.20.0.2), вводим логин и пароль созданного аккаунта. Теперь можно настраивать TimeMachine для создания резервных копий на этот диск.
Для того, чтоб в случае взлома сервера логи остались целыми и можно было их анализировать, их нужно хранить отдельно от самого сервера. В идеальном случае - это вообще отдельный сервис с возможностью фильтрации, поиска и т.п.
Итак, будем отправлять логи в сервис AWS CloudWatch.
Amazon CloudWatch можно использовать для сбора и отслеживания метрик, накопления и анализа файлов журналов, создания предупреждений, а также автоматического реагирования на изменения ресурсов AWS. Amazon CloudWatch может использоваться для мониторинга следующих ресурсов AWS: инстансов Amazon EC2, таблиц Amazon DynamoDB, инстансов Amazon RDS DB, а также для мониторинга пользовательских метрик приложений и сервисов и любых логов ваших приложений.
Устанавливаем агента для сбора логов:
$ curl https://s3.amazonaws.com//aws-cloudwatch/downloads/latest/awslogs-agent-setup.py -O
$ python ./awslogs-agent-setup.py
Отвечаем на все вопросы скрипта и идем править конфиг /etc/awslogs/awslogs.conf. В конце этого файла есть секции, отвечающие за сборку конкретных логов. Их может быть столько, сколько лог-файлов надо собирать и отправлять в CloudWatch.
Пример:
[/var/log/commands.log]
datetime_format = %Y-%m-%d %H:%M:%S
file = /var/log/commands.log
buffer_duration = 100
log_stream_name = {hostname}
initial_position = start_of_file
log_group_name = all_commands
Более детальное описание формата файла смотрите в документации.
Остается перезапустить демона:
$ sudo service awslogs restart
Иногда надо из соображений безопасности логировать все дейстия пользователей на сервере.
Очень полезно для того, чтоб потом исследовать кто и что делал и как получилось, что у нас что-то упало. Ну или это могут быть требования сертификации, например.
Итак, что нам надо сделать для полного логгирования действий:
Добавляем следующую строку в файл /etc/bash.bashrc:
export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'
Таким образом вся история пользователя будет попадать в rsyslog с уровнем local6.
Создаем файл /etc/rsyslog.d/bash.conf с содержимым:
local6.* /var/log/commands.log
Рестартуем rsyslog и проверяем, что лог у нас пишется. Для этого нужно перезайти на сервер и выполнить несколько команд. Все они должны появиться в логе.
Amazon Elastic Load Balancer (Amazon ELB) автоматически распределяет входящий трафик приложений по нескольким целевым объектам, таким как инстансы Amazon EC2, контейнеры или IP-адреса. Сервис входит в инфраструктуру Amazon Web Services.
Создаем файл elb.tf с таким содержимым:
resource "aws_elb" "elb" {
name = "terraform-elb"
subnets = ["${aws_subnet.aws-subnet-public.id}", "${aws_subnet.aws-subnet-private.id}"]
listener {
instance_port = 80
instance_protocol = "http"
lb_port = 80
lb_protocol = "http"
}
health_check {
healthy_threshold = 2
unhealthy_threshold = 2
timeout = 3
target = "HTTP:80/"
interval = 30
}
instances = ["${aws_instance.web.*.id}"]
cross_zone_load_balancing = true
idle_timeout = 400
connection_draining = true
connection_draining_timeout = 400
tags {
Name = "terraform-elb"
}
}
Эти инструкции позволят нам создать Elastic Load Balancer и добавить все наши инстансы Nginx к нему, в качестве бэкэнда.
Немного об опциях:
availability_zones - зоны доступности, в которых будет развернут балансировщикlistner - это те порты, которые будет слушать ELB и куда будет перенаправлять трафикhealth_check - параметры проверки "живости" бэкэндаinstances - описание, какие бэкэнды будут подключены к этому ELB. Тут интересно то, что бэкэнды можно указать через ссылку на уже существующий ресурс Terraform'aТеперь можно добавить вывод параметров ELB в тот же файл:
output "elb_instances" {
value = ["${aws_elb.elb.instances}"]
}
output "elb_public_dns_name" {
value = ["${aws_elb.elb.dns_name}"]
}
Это позволит нам видеть, какие инстансы добавлены в Load Balancer и по какому DNS имени он доступен.
Думаю, что принцип работы с Terraform понятен. Он действительно не сложен и разобраться можно достаточно быстро.
В качестве домашнего задания оставляю вам поднятие RDS и создание и управление баккетами в S3. :)
Удачи и спасибо за то, что прочитали.
Amazon Elastic Compute Cloud (Amazon EC2) — веб-сервис, который предоставляет вычислительные мощности в облаке (по простому - виртуальные сервера). Сервис входит в инфраструктуру Amazon Web Services.
Приступим к конфигурации EC2.
Первое, что необходимо сделать - это создать AMI из которого мы будем создавать сервера.
В примере по ссылке мы создали обычный сервер, но можно туда добавить, например, Nginx и упаковать ваш сайт.
Вопрос масштабирования вашего сайта я оставлю за рамками данной заметки.
Читать далее...
Очень многие сейчас используют весьма удобный инструмент конфигурации Ansible.
Долгое время читать ошибки, которые он выдает было мукой. Но НАКОНЕЦ!!! Наконец Ansible научился выдавать вменяемый текст ошибок.
Для того, чтоб включить нормальное поведение необходимо обновиться до версии 2.5.0 или выше и указать в конфиге:
# Use the YAML callback plugin.
stdout_callback = yaml
# Use the stdout_callback when running ad-hoc commands.
bin_ansible_callbacks = True
Все сразу станет сильно лучше.
Это американская компания, которая предоставляет услуги по защите от DDoS атак, распределенной сети доставки (CDN) и безопасных интернет сервисов. Работает с 2009 года и в их клиентах числятся такие гиганты как Nasdaq, DigitalOcean, Zendesk, Eurovision, Udacity и т.п.
1 апреля 2018 года CloudFlare запустил, аналогично Google (8.8.8.8, 8.8.4.4), свои публичные DNS сервера - 1.1.1.1 и 1.0.0.1.
Фокус в том, что эти публичные сервера ориентированы прежде всего на безопасность. Если Google честно говорит, что данные запросов они собирают и потом на основе этих данных вам будет предлагаться реклама, то CloudFlare заявляет о том, что они не отслеживают кто и что запрашивает.
Но и это еще не все. По данным исследователей - сервера CloudFlare отвечают в среднем в полтора раза быстрее, чем Google. А это заметный прирост к скорости работы в сети.
Но и это далеко не все.
Теперь, если вы разработчик програмного обеспечения, то вы можете полностью отвязаться от DNS клиента (провайдерский ДНС, настроенный на машине, где запущено ПО) с помощью технологии DNS over HTTPS.
Как это работает? Да все просто. Надо написать обертку, которая будет запрашивать по https сервера CloudFlare преобразование домена в IP и потом посылать запросы по IP к нужным серверам (не забываем при передаче запроса выставить заголовок Host).
Протестировать можно обычным curl:
curl 'https://1.1.1.1/dns-query?ct=application/dns-json&name=lyalyuev.info&type=A'
Ответ будет таким:
{"Status": 0,"TC": false,"RD": true, "RA": true, "AD": false,"CD": false,"Question":[{"name": "lyalyuev.info.", "type": 1}],"Answer":[{"name": "lyalyuev.info.", "type": 1, "TTL": 38400, "data": "51.15.40.165"}]}
Ответ прост и понятен. Очень легко разбирается любым JSON-парсером.
Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в созданной пользователем виртуальной сети. Пользователь полностью контролирует свою среду виртуальной сети, в том числе может выбирать собственный диапазон IP-адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для обеспечения удобного и безопасного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.
Приступим к конфигурации VPC.
Читать далее...
Этой заметкой я открываю новую рубрику, связанную с безопасностью в сети и не только.
Разработчик AdBlock Plus раскритиковал систему хранения паролей в Firefox. По его словам логины и пароли, которые были сохранены в Firefox можно украсть простым брутфорсом с применением видеокарты.
То же касается и Thunderbird.
Для шифрования базы используется мастер-пароль, который и есть ключ к базе. Метод шифрования - уже слабый SHA-1.
NVIDIA GTX 1080 может генерировать до 8,5 миллиардов вариантов паролей в секунду!
Т.е. увести файлы logins.json и key3.db и все. Все ваши пароли, от всех сервисов, которые вы сохранили в Firefox - утекли.
Фокус в том, что в Firefox используется одноразовый проход шифрования SHA-1, в то время как принято использовать как минимум 10000 раз. Тогда расшифровать брутфорсом базу будет существенно сложнее. Для примера LastPass использует 100000 проходов шифрования.
Эпичности этой ситуации добавляет то, что первое сообщение об этой проблеме опубликовано ДЕВЯТЬ ЛЕТ назад!