Debian.pro

Блог для пользователей и администраторов Debian


OpenSSL HeartBleed в Debian. CVE-2014-0160, обновляемся.

Приветствую. В Openssl обнаружена уязвимость, которая позволяет прочитать рандомные 64К памяти сервера. Выбирать, что именно читать, нельзя, но можно спросить много раз. Условия — торчащий наружу TLS (например, nginx+https). Последствия — любые данные с сервера уже могут быть украдены. В особенности, ваши сертификаты. Уязвим Debian Wheezy. Squeeze уязвимости не подвержен. Обновлять openssl нужно так: root@server:~# [...]

Кончилось место на сервере? А файлов меньше чем занятого места?

Так и не смог придумать нормальный заголовок, так что суть — в следующем абзаце. Нередко случается такое, что приложение говорит «cannot write blah to hdd, not enough space», хотя df -h говорит, что места ещё дохрена. Неопытный админ начинает задумчиво чесать репу, удивляться, гуглить и тд. Чаще всего такое поведение случается в трех случаях: 0) [...]

Создаём свой репозиторий с deb-пакетами.

Мы научились собирать пакеты и подписывать их. Теперь самое время сделать свой репозиторий с пакетами. По сути, есть 3 способа (более или менее «легальных») способа собрать свой репозиторий: dpkg-scanpackages, mini-dinstall и reprepo. dpkg-scanpackages — достаточно простая тулза, но требует много ручной работы. Я хоть и напишу про неё, но использовать её в промышленных масштабах не [...]

Строим Интернет 2.0. Ну или VPN для себя любимого. Hyperboria.

Давайте порассуждаем о том, как должен выглядеть интернет будущего, чтобы быть достаточно надежным и безопасным. Вот что я вижу в общих чертах: 1) трафик шифруется между любыми двумя хостами. Никто кроме этих двух хостов расшифровать трафик не может 2) каждое устройство в сети имеет свой уникальный ip-адрес (само собой, ipv6). 3) сеть построена по принципу [...]

Организуем себе безопасное рабочее место на удаленной виртуалке при помощи x2go.

Достаточно давно я наткнулся на крайне интересную вещь — x2go. По сути своей, это очередной способ поиметь себе remote desktop с linux-машины. Вот только в этот раз — способ достаточно шустрый, быстрый, работающий. А в нашем случае полезно ещё и то, что он туннелирует из коробки весь трафик через ssh. В игры поиграть не получится, [...]

ssh-copy-id на нестандартный порт.

Собссна, многие знают про ssh-copy-id. Не все знают, как при помощи него передавать опции ssh-клиенту (например, нестандартный порт). Внезапно, в рассылках openbsd (когда искал, когда ж они замерджат патчик с опцией порта) нашел очень логичный способ передать произвольные опции ssh клиенту) Например, если мы хотим сделать ssh-copy-id на ssh с 2222 портом: user@laptop:~$ ssh-copy-id «-p [...]

«Телепортируем» белый ip-адрес на другой сервер при помощи ipip-туннеля.

    Совсем недавно я писал как «перенести» ip-адрес одной машины на другую машину. Само собой, трафик в описанном ранее случае, проходит через исходный сервер (и изменить это, не имея возможности полностью управлять своими адресами — невозможно). Но, класс задач, которые решает описанное мной решение, достаточно широк, в любом случае.     Описанное ранее решение с pptp — максимально [...]

Создаём свой собственный маленький host-tracker/ping-admin: Monit для мониторинга внешних сущностей.

Я думаю, все, кто сейчас читают эту статью так или иначе знакомы с сервисами аналогичными ПингАдмину или ХостТрекеру. Основное их предназначение — мониторить ваши сайты/http-ручки и ругаться в почту (дешево) или в смс/звонком (дорого) вам, если что-то сломалось/починилось. На днях один из таких сервисов меня подвел (не отправил уведомления, когда умер mysql на ОченьВажномСервере) и [...]