Данная заметка будет полезна всем тем, у кого есть необходимость работать с удалёнными серверами по ssh, но большого желания делать это в консоли, они не испытывают.
Во-первых, нужно установить драйвер поддержки ssh для vfs — sshfs:
sudo aptitude install sshfs
Во-вторых, добавить пользователя в группу, у которой есть права на использование fuse (file system in user space):
Монтирование удалённых ssh… →
Ещё один полезный совет из серии “начинающему администратору”. Нет, ну а что, забыть пароль от чего-либо сейчас в порядке вещей… Вот и с учёткой администратора базы данных такое случается 
Следующий рецепт подойдёт для Linux-based и BSD систем (hint: пароль у пользователей Windows обычно пустой).
Временами, перед пользователями Linux (как и перед пользователями Windows и *nix, но сейчас не о них) встаёт задача: в сети появилась новая машина, у которой нет доступа к интернету (а должен быть). Ситуации могут быть разные, в моём случае: интернет раздаётся через wifi, а настроить на новенькой FreeBSD wifi адаптер и подключение ещё не успел. А пакеты ставить надо… Ещё есть ноутбук на Linux, с доступом в интернет и лишним ethernet портом.
Самый простой способ… →
Уж извините, но буду занудой (кто-то же должен ) : основная уязвимость любой системы — человек. В этом я убеждался ни раз и ни два. И вот — очередная возможность в этом убедиться.
После установки Apache при заходе по IP на сервер, где он установлен, мы можем увидеть радостное рапортование о том, что сервер работает:
Отлично! Теперь можно заняться заливкой сайта на сервер. И, если у вас на сервере планируется только один сайт (домен), то вы можете положить скрипты прямо в /var/www/ (там пока что лежит только index.htm с текстом “<h1>It works!</h1>“). Всё будет работать. Но сайт будет только один.
Если несколько доменов разрешаются в IP этого сервера (с помощью DNS), обращаясь по любому из них, вы увидите свой сайт.
Можно в скрипте, которому передаётся управление при обращении к серверу, узнать имя host’а, к которому обращались, однако, apache может это делать сам и удобнее (для нас), достаточно лишь настроить его.
Сразу скажу, что никаких специфичных для Debian’а вещей я не использовал, и, при желании, данное руководство может быть применено к любому Linux’у и, возможно, даже у любой OS.
Будем использовать самоподписанный сертификат (self-signed). Сертификаты, подписанные certificate authority стоят денег и времени… Кстати, ребята придумали ещё один способ, как делать деньги из воздуха
Настройка HTTPS в… →
В любом проекте есть недочёты, недоработки, а также пользователи, которые и находят их. Зачастую они отписываются о найденных проблемах. Но где? На форуме программы?
Нет, для этого есть специальный софт – баг трекеры. На них пользователь может отправить сообщение об ошибке и следить за процессом разрешения проблемы. В свою очередь, разработчик также получает удобный интерфейс приёма заявок и ответа на них.
Вот уже довольно долгое время я “дружу ” с Linux. С ним я провожу, пожалуй, больше всего времени — смотрю фильмы, читаю книги, слушаю музыку, общаюсь с интересными мне людьми. И, вот ведь не задача, настраиваю его. Причём последнее я делаю зачастую не из-за нужды, а из-за желания разобраться: как оно работает внутри. Вот такая вот прихоть
Зачастую при конфигурировании открываются некоторые философские и даже морально-этические вопросы. В частности, пытаюсь осознать: а что же я делал и почему оно заработало (да, да, как бы это странно не звучало, именно “почему заработало”, а не “почему не работает”). В ходе размышлений я пытаюсь выяснить: а что же главное в настройке и вообще, как жить?
Django – классный фреймвор на python’е. Более подробная информация – в гугле или позже (если и будет описание от меня – то в отдельной заметке). Эта заметка – “почеркушки на полях”, дабы быстро вспомнить как оно разворачивается.
Django. Как начать:… →
Оригинал: “20 Linux Server Hardening Security Tips”
Автор: Vivek Gite
Дата публикации: 30 октября 2009 г.
Перевод: Н.Ромоданов
Дата перевода: ноябрь 2009 г.
Поддержание безопасности Linux сервера на высоком уровне важно для сохранения от рук взломщиков (хакеров) ваших данных, интеллектуальной собственности и экономии времени. Системный администратор отвечает за безопасность компьютера с Linux. В этой первой статье из серии, посвященной безопасности серверов Linux, приводится 20 советов по повышению безопасности Linux сервера, установленного с настройками, заданными по умолчанию. 20 советов по… →
Взято с http://www.ibm.com/
Уровень сложности: средний
Кен Милберг, UNIX-консультант Future Tech, составитель технической документации и эксперт по сайту, Future Tech
21.07.2009
Большинство системных администраторов, планирующих установку Linux на IBM® System p®, непременно приходят к важному вопросу: какой дистрибутив выбрать? В данной статье дается сравнение двух дистрибутивов – от Red Hat и Novell – и приводятся их плюсы и минусы при использовании в системах POWER. Я расскажу об истории возникновения обоих дистрибутивов, отношениях IBM с этими компаниями и основных факторах, влияющих на выбор дистрибутива. Также мы сравним и сопоставим процесс создания LVM-разделов в SLES и RHEL.
Возможность установки Linux на системы POWER (сокращенно – Linux on POWER, LoP) появилась в 2005 году с выходом технологии Advanced Power Virtualization и системы IBM System p5®. Сейчас пользователи могут устанавливать Linux, портированный для процессора POWER, на логические разделы серверов IBM System p. При этом доступны различные средства, связанные с виртуализацией, имеющиеся при работе на System p в операционной системе AIX®, версии UNIX® от IBM: микроразделы, виртуальные серверы ввода-вывода (VIOS), а также другие расширенные возможности, например, Capacity on Demand (CoD, выделение ресурсов по требованию). Более того, в Linux на POWER поддерживаются такие новые технологии Power6, как Live Partition Mobility (позволяет перераспределять нагрузку между серверами System p “на лету”, без выключения) и совместно используемые выделенные мощности (более оптимально задействует циклы совместно используемых процессоров). Сравнение SLES (от… →
named(8) FreeBSD System Manager's Manual named(8)
ИМЯ
named -- Сервер доменных имен Интернет (DNS)
СИНТАКСИС
named [-d debuglevel] [-p port#] [-(b|c) config_file] [-f -q -r -v]
[-u user_name] [-g group_name] [-t directory] [-w directory]
[config_file]
ОПИСАНИЕ
named - сервер доменных имен Интернета (DNS). Дополнительную информацию
о системе DNS можно получить в документах RFC 1033, 1034 и 1035. Запущенный
без аргументов, named считывает конфигурационный файл по умолчанию
/etc/namedb/named.conf, читает данные инициализации и начинает прослушивать
входящие запросы. Аргумент config_file, заданный в конце командной строки,
перезаписывает конфигурацию, заданную другими конфигурационными файлами,
определенных в опциях "-b" и "-c".
Перевод man named... →
Описание любого домена (служебная информация, его NS, сервера почты, субдомены) или, иначе говоря, зоны, должно строго соответствовать определенному формату. Рассмотрим его.
$TTL 1h @ IN SOA ns1.my-ns-server.com. hostmaster.example.com. ( 2007022600 ; Serial 3h ; Refresh 1h ; Retry 1w ; Expiry 1d ; TTL ) ;;; NS ;;; NS ns1.my-ns-server.com. NS ns.my-secondary-ns.com. ;;; MX ;;; MX 10 mx.example.com. ;;; A ;;; A 192.168.1.1 www CNAME @ mx A 192.168.1.1
Как это делается при наличии Gnome или KDE знают все. Поэтому – консоль! Зачем? А вдруг у вас нету GUI(сервер, к примеру) или графическая оболочка снова сбоит…
Выбор часового пояса:
Идём в папку /usr/share/zoneinfo/, выбираем город, находящийся с нами в одном часовом поясе.
Теперь вместо /etc/localtime ставим символическую ссылку на /etc/localtime:
root[~]# ln -fs /usr/share/zoneinfo/Europe/Yekaterinburg /etc/localtime
Устанавливаем время и дату:
date ММДДЧЧммГГГГ.СС
Месяц, День, Час, Минуты, Год, Секунды.
root[~]# date 073008102009.59
Thu Jul 30 08:10:59 EDT 2009
Выполнять с правами root’а.
Постановка задачи
1. Шифрование разделов
1.1 Подготовим ядро Linux
1.2 Переходим к шифрованию
2. Загрузчик на usb флешке (grub)
2.1 Подготовим флешку
2.2 Переходим к загрузчику
2.3 Автоматизация монтирования шифрованных разделов при загрузке
2.4 Уничтожение загрузчика
2.5 Шифрование swap раздела
3. Паранойя
3.1. Ставим на флешку линукс (Gentoo)
3.2. Доводим дело до конца
10 самых распространенных ошибок конфигураций Linux и xBSD
Установить Linux/BSD не проблема, инсталлятор все сделает за нас, а вот правильно настроить систему, чтобы ее тут же успешно не атаковали хакеры, удается далеко не каждому. Проанализировав ситуацию, мыщъх отобрал десяток наиболее распространенных ошибок, допускаемых не только начинающими, но и матерыми юниксоидами.
Все видели логотип на главной странице OpenBSD? «Всего лишь две удаленных уязвимости в конфигурации по умолчанию за десять лет промышленной эксплуатации». Означает ли это, что, установив OpenBSD на свою машину, мы можем ничего не опасаться? Нет и еще раз нет!
Несмотря на то что в xBSD и особенно в Linux имеется достаточное количество дыр, под которые написано множество эксплойтов, большинство атак совершается не через них (хотя и через них тоже), а «благодаря» грубым ошибкам конфигурации, допущенным администратором. Это справедливо как для серверов, так и для рабочих станций, однако серверы имеют свою специфику: здесь доминируют дыры в PHP/Perl-скриптах, SQL-injecting и т.д. Об этом уже неоднократно говорилось на страницах нашего журнала, так что оставим серверы в покое (о них есть, кому позаботиться) и сосредоточимся на рабочих станциях обычных пользователей, которые обучаются методом тыка и совершенно незнакомы с тактикой ведения боя против хакеров.
На конференции SIGINT 09 представлена beta-версия LiveCD дистрибутива Ubuntu Privacy Remix (UPR), основанного на Ubuntu 9.04 и предназначенного для обеспечения максимально возможной степени изоляции для защиты персональных данных пользователя. Кроме средств для предотвращения проникновения злонамеренного кода, такого как троянские программы, модули перехвата клавиатурного ввода и rootkits, в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.
Ключевые особенности дистрибутива:
Появляется вопрос: а оно такое надо? Дистрибутив, изначально нацеленный на “дружелюбие”, доступность и удобство для рядовых пользователей вдруг пытаются превратить в танк. Причём, с потерей функционала если не колоссальной, то значительной…
Настраиваем поддержку ACL в Linux, это необходимо для шар самбы, что бы корректно сохранялись права виндовых машин, что бы эти права наследовались, что бы можно было править права на шары с помощью галочек в Windows, что бы профиль пользователя Windows (если у вас домен на samba) перемещался корректно ну и т.д.
В данном мануле я расскажу как поднять на абсолютно не требовательном железе – мини домашний файловый сервер. Я буду использовать два жестких диска. Один на 8 гигабайт, старый от IBM для системы. А второй на 40 гиг для шары, отформатированный в NTFS, благодаря чему, я (в случае поломки сервера или прочих операций) могу вставить этот диск в любой компьютер с Windows, Linux системами и получить доступ к моим данным.
Собственно всё это будет вертеться на Ubuntu Server. Думаю что и на Debian будет всё так же.
Я понимаю, что это звучит как название дешевого боевика, но все же это действительно реально сделать!
Так как я являюсь “счастливым” абонентом Екатеринбургского провайдера KAБiNET, я знаю о таком великолепном проекте как p4p.ru. Это сеть ftp серверов абонентов провайдера. Можно создать свой ftp сервер, зарегистрировать его в проекте p4p.ru и получать за это денюшку! Что я и незамедлил сделать. В связи с тем, что раньше мне не приходилось поднимать ftp, я пошел гуглить. Вот собственно что я нашел. По этой статье я в своей gentoo сделал следующее: