20

Сертификаты от Let's Encrypt это просто!

Вот настроил сайт «Мозаика системного администрирования» на работу по HTTPS с использованием сертификата от Let's Encrypt.


C помощью скриптов от Certbot процесс настройки оказался очень простым и быстрым.


На Debian это буквально две команды + настройка Cron.


Подробно здесь.


P.S. Пост Pikabu + HTTPS читал.

Дубликаты не найдены

0

Может подскажет кто здесь, так как создавать отдельную тему где бы то не было желания нет.

Очень хочется создать дома сервис на подобии Heroku.

Что есть.

Есть комп с Debian (сервер). Стоит у меня в шкафу, не делает ничего, но если к питанию подключить, то можно управлять им через терминал с ноута.

Что требуется.

Собственно, подобие выше упомянутого сервиса, чтоб можно было загрузить на git проект (phyton, java, php) и запустить на сервере и все это через консоль на ноуте. Нужно мне это ТОЛЬКО для образовательной цели, поэтому хочу написать как можно больше сам.

Теперь вопрос: как выглядит общий алгоритм этого дела и что мне нужно гуглить, чтоб решить данную задачу?

раскрыть ветку 1
0
0

Mozilla и Chrome забанили мой Startssl сертификат в новых версиях. Вопрос, могу-ли я поставить сертификат от Let's Encrypt в IIS?! Пересесть на на опенсорс не могу, по причине крутящегося специфического софта(

раскрыть ветку 2
0

Тема сисек nginx не раскрыта!


П.С. Если на днс настроен домен с выдачей случайного ип из пула ип серверов, то как получать сертификат для такого домена автоматически по расписанию ?

раскрыть ветку 3
+1

Тема nginx раскрыта на DigitalOcean.
https://www.digitalocean.com/community/tutorials/how-to-secu...

раскрыть ветку 1
-1
Полезная ссылка.

Благодарю!

-1

По nginx посмотри например здесь:

https://certbot.eff.org/#debianjessie-nginx


Ответ на второй вопрос: командная строка.

0

Спасибо за информативный пост..

-1

В Debian 8 даже Cron не нужно настраивать.


В пакете для Debian присутствует файл /etc/cron.d/certbot который выполняет процедуру проверки срока действия сертификата и выполняет его обновление только в том случае, если до окончания действия сертификата остаётся 30 или менее дней. Протокол выполнения процедуры обновления записывается в файл /var/log/letsencrypt/letsencrypt.log.

-7

@moderator, тут что то реклама зашкаливает.

раскрыть ветку 7
+4

Где ты увидел тут рекламу? И рекламу чего? Рекламу установки бесплатных SSL сертификатов от LetsEncrypt? @moderator, чел просто не в теме, по ссылкам все ок.

Иллюстрация к комментарию
ещё комментарии
-6
Автор, го ту хабрбрхабрбрбр
раскрыть ветку 1
0
Открой для себя прекрасный мир сообществ.
-6
@moderator Где реклама? Уточните пожалуйста.
раскрыть ветку 1
+3
Здравствуйте. Не понимаю сути вопроса. Ваш пост не удалён же.
ещё комментарии
Похожие посты
746

Реверс-прокси на службе человечества

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Ранее я уже выкладывал на Пикабу статьи про личные VPN, личные хранилища файлов и прочие штуки для защиты личной информации. Планирую несколько статей по полезным для личного использования OpenSorce сервисам. Если эта статья не улетит в минус, выложу сюда и другие.

И для начала статья про реверс-прокси. Используя его, можно создать зеркало любого сайта, в том числе не доступного в вашей стране пребывания, и спокойно пользоваться им без всяких VPN. А можно поставить реверс-прокси как защитный барьер перед каким-то web-сервисом. В общем вот Вам инструмент, пользуйтесь. На одном копеечном сервере Вы можете поднять хоть сотню зеркал дл личного пользования.

Примечание 1: это статья рассчитана на нулевой или начальный уровень читающего. Очень подробно и просто, без занудства.

Примечание 2: Всё описанное в этой статье приведено только в обучающих целях и не должно быть использовано для противоправных действий. Администрация сайта не несёт ответственность за действия третьих лиц, использующих инструкции из данной статьи. Все скриншоты и адреса сайтов в этой статье являются художественным вымыслом, совпадения с реальными адресами и сайтами случайно.

Примечание 3: статья может и будет дорабатываться. Наиболее актуальный вариант как всегда в первоисточнике. Да и конфиги там выглядят как надо.

Nginx это не только web-сервер, но и кое что получше. Его можно использовать в качестве обратного прокси или реверс-прокси. Что это значит? Реверс-прокси это посредник между пользователем и реальным web-сервером. Это значит, мы можем скрыть от пользователя (или от того, сто фильтрует наш трафик ) настоящий адрес web-сервера, обеспечить доступ по https к серверу, который умеет только http, можем подменить домен web-сервера, можем фильтровать содержимое трафика как с целью подмены содержимого сайта, так и для защиты web-сервера от атак злодеев, можем кэшировать сайт для ускорения, можем балансировать нагрузку, можем… Да очень много можем! Например, сделать своё собственное зеркало RuTracker или любого другого сайта, к которому нет доступа обычным способом.


Лучше всего показывать на реальных примерах. Нам понадобится VPS с минимальными характеристиками. Nginx не требователен к ресурсам. Главное, чтобы хватило лимитов трафика под Вашу задачу. В данной статье для скриншотов будет использоваться VPS с операционной системой CentOS 7. Для других операционных систем конфиги абсолютно аналогичны. Старайтесь использовать минимальную конфигурацию операционной системы без дополнительных пакетов.

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Также нам понадобится домен. Можете использовать домен третьего уровня у какого-то своего домена, но лучше для таких дел арендовать отдельный новый платный домен, или арендовать бесплатный домен где-нибудь на freenom.com. Вы должны быть готовы к тому, что ваш домен добавят в реестр запрещенных сайтов. Это не должно затронуть какие-либо другие Ваши сервисы, кроме реверс-прокси. Для этого домена нужно добавить A запись с IP адресом нашего VPS. Как арендовать домен и настраивать DNS записи можно почитать здесь. Для примера в статье будет использоваться домен mydomain.com


Как арендовать и первично настроить VPS описано здесь, здесь и здесь. Должен быть разрешён доступ к серверу по портам tcp/22, tcp/80 и tcp/443. Если вы используете эту статью для настройки файрволла, то конфиг ipt-set будет выглядеть так:


#!/bin/sh

IF_EXT="venet0"

IPT="/sbin/iptables"

IPT6="/sbin/ip6tables"

# flush

$IPT --flush

$IPT -t nat --flush

$IPT -t mangle --flush

$IPT -X

$IPT6 --flush

# loopback

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT

# default

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

$IPT6 -P INPUT DROP

$IPT6 -P OUTPUT DROP

$IPT6 -P FORWARD DROP

# allow forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# NAT

# #########################################

# SNAT - local users to out internet

$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

# INPUT chain

# #########################################

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ssh

$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT

# WEB

$IPT -A INPUT -i $IF_EXT -p tcp --dport 80 -j ACCEPT

$IPT -A INPUT -i $IF_EXT -p tcp --dport 443 -j ACCEPT

# OUTPUT chain

# #########################################

$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Обновим сервер:

yum -y update

yum -y install epel-release

Ставим собственно Nginx

yum -y install nginx

Пробуем запустить

systemctl start nginx

Теперь, если мы попробуем в браузере перейти по адресу нашего домена http://mydomain.com (вы, соответсвенно вводите своё имя домена), то должны увидеть страницу-заглушку. Типа такой:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Также можно проверить работоспособность службы командой:

systemctl status -l nginx

Вывод команды должен выглядеть так:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Если возникли проблемы и служба не запускается, то скорее всего вы используете не минимальный дистрибутив операционной системы и в системе уже установлен какой-то web-сервер, который занимает порт. Чтобы проверить это, установим сетевые утилиты

yum install net-tools -y

И проверим, кто занимает порт

netstat -tulnp | grep 80

В выводе команды вы можете увидеть, например:

tcp 0 0 :::80 :::* LISTEN 104/httpd

Это значит, что установлен Apache и запущен его демон httpd. Убираем это командами:

systemctl stop httpd

systemctl disable httpd

А потом пробуем запустить службу Nginx как описано выше. Если всё хорошо, добавляем её в автозагрузку:

systemctl enable nginx

Переходим к конфигу Nginx. Откройте файл /etc/nginx/nginx.conf

Напомню, все манипуляции с фалами я делаю с помощью программ WinSCP, как это описано в этой статье. В качестве редактора рекомендую использовать программу Notepad++. Установите её на свой компьютер и укажите в настройках WinSCP путь к редактору в меню Options->Preferences->Editors. Он должен быть первым в списке для использования по умолчанию.

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

В конфиге уже есть секция

server {

listen 80 default_server;

listen [::]:80 default_server;

server_name _;

root /usr/share/nginx/html;


# Load configuration files for the default server block.

include /etc/nginx/default.d/*.conf;


location / {

}


error_page 404 /404.html;

location = /40x.html {

}


error_page 500 502 503 504 /50x.html;

location = /50x.html {

}

}

Именно эта секция выводит страницу-заглушку. А вот ниже есть закоментированный пример секции https (порт 443) страницы-заглушки. Крайне желательно эту секцию сделать работающей. Нам понадобятся сертификаты. Установим certbot и получим сертификат командами:

yum -y install certbot python2-certbot-nginx

certbot certonly

На запрос:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Вводим 1


На запрос:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Вводим свой действующий e-mail. На него будут приходить в уведомления. Например, если срок сертификата истекает и его необходимо продлить.


Напомню: Let’s Encrypt выдаёт сертифакты со сроком действия три месяца.

Далее принимаем соглашение и отказываемся от рассылок, вводим, соответственно, A и N

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность
Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Дальше нужно ввести имя Вашего домена. В моём случае это mydomain.com. И нажать Enter. Если у Вас настроена A запись, как указано в начале статьи, и прошло достаточно времени (запись должна прореплицироваться на все DNS-сервера, это можета занимать до 24-х часов, дожен пинговаться адрес домена), то будет получен сертификат и мы получим вывод в консоли:

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

/etc/letsencrypt/live/mydomain.com/fullchain.pem

Your key file has been saved at:

/etc/letsencrypt/live/mydomain.com/privkey.pem

Your cert will expire on 2020-02-26. To obtain a new or tweaked

version of this certificate in the future, simply run certbot

again. To non-interactively renew *all* of your certificates, run

"certbot renew"

Заметьте, тут сразу есть пути к файлам сертификата и их можно очень удобно скопировать в конфиг. Возвращаемся к файлу /etc/nginx/nginx.conf, раскоментируем секцию для https и исправим пути на сертификат. Получится так:

# Settings for a TLS enabled server.


server {

listen 443 ssl http2 default_server;

listen [::]:443 ssl http2 default_server;

server_name _;

root /usr/share/nginx/html;


ssl_certificate "/etc/letsencrypt/live/mydomain.com/fullchain.pem";

ssl_certificate_key "/etc/letsencrypt/live/mydomain.com/privkey.pem";

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 10m;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;


# Load configuration files for the default server block.

include /etc/nginx/default.d/*.conf;


location / {

}


error_page 404 /404.html;

location = /40x.html {

}


error_page 500 502 503 504 /50x.html;

location = /50x.html {

}

}

Сохраним файл и перезапустим службу Nginx. Перезапускать службу нужно каждый раз, когда вы меняете конфиги Nginx.

systemctl restart nginx

И проверяем, что старница-заглушка доступна в браузере по адресу https://mydomain.com (вы вводите своё имя домена).


В конфиге /etc/nginx/nginx.conf обратите внимание на строчку

include /etc/nginx/conf.d/*.conf;

Это значит, что если мы в папке /etc/nginx/conf.d/ разместим файл с расширением .conf, то он будет включен в основной конфиг и выполнен вместе с ним. Так и будем делать. Файл /etc/nginx/nginx.conf закрываем и больше не трогаем.


Теперь определим, к чему мы будем проксировать трафик. Например, я хочу чтоб при переходе по адресу test.mydomain.com, во-первых, происходила переадресация на адрес https://test.mydomain.com (мы за безопасность и шифрование), а во-вторых, открывался сайт eng.rkn.gov.ru.


Сначала создадим домен третьего уровня вида test.mydomain.com


Категорически рекомендую использовать для проксирования только домены третьего уровня. Если какому-то регулятору не понравится то, что у вас по этому адресу расположено, он забанит именно домен третьего уровня и не забанит домен второго уровня. По крайней мере, скорее всего не забанит :).

Т.е. создадим на DNS-сервере А запись test (вы подставляете своё имя) с тем же IP-адресом, что и основной домен mydomain.com (вы подставляете своё имя). Дождитесь, чтобы запись прореплицировалась по DNS-серверам. Можно проверить, что домен пингуется командой на VPS:

ping test.mydomain.com -c 3

Должны корректно пройти три пинга

PING test.mydomain.com (185.nnn.nnn.nnn) 56(84) bytes of data.

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=1 ttl=64 time=0.031 ms

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=2 ttl=64 time=0.019 ms

64 bytes from vpsNNNN.hostsailor.com (185.nnn.nnn.nnn): icmp_seq=3 ttl=64 time=0.019 ms


--- test.secfall.com ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2000ms

rtt min/avg/max/mdev = 0.019/0.023/0.031/0.005 ms

В папке /etc/nginx/conf.d/ создаём файл с именем вида test.mydomain.com.conf следующего содержания:

server {

listen 80;

server_name test.mydomain.com;

location /.well-known/acme-challenge {

alias /usr/share/nginx/html/.well-known/acme-challenge;

}

location / {

return 301 https://$server_name$request_uri;

}

}

Перезапускаем службу Nginx и, с помощью команды certbot certonly, делаем сертификат для нашего домена третьего уровня test.mydomain.com (подставляете свои имена).


Если сертификат получен, дописываем (т.е. добавляем с новой строчки в конце) в файл /etc/nginx/conf.d/test.mydomain.com.conf секцию для https:

server {

listen 443 ssl;

server_name test.mydomain.com;


access_log /var/log/nginx/test.mydomain.com.access.log;

error_log /var/log/nginx/test.mydomain.com.error.log;


client_max_body_size 0;

underscores_in_headers on;


ssl_certificate /etc/letsencrypt/live/test.mydomain.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/test.mydomain.com/privkey.pem;


ssl_stapling on;

ssl_stapling_verify on;

location /.well-known/acme-challenge {

alias /usr/share/nginx/html/.well-known/acme-challenge;

}


location / {

proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

}

Рассмотрите внимательно конфиг. В нём test.mydomain.com вы заменяете на своё имя домена, а eng.rkn.gov.ru на имя того сервера, который будете проксировать. И обратите внимание, что в данном конфиге к eng.rkn.gov.ru сервер обращается по http, а нам отдаёт по https. Такое полезно, когда web-сервер расположен где-то во внутренней инфраструктуре и нет необходимости или возможности прикрутить к нему https.


Например, есть некий сервис который вообще не умеет в https. Мы устанавливаем его на сервер, привязываем к адресу localhost и к порту, например, 8080. Теперь к сервису нельзя обратится извне, а только «изнутри» сервера по адресу http://localhost:8080. На этот же сервер ставим реверс-прокси, как написано выше, и указываем


proxy_pass http://localhost:8080;


Т.е. Nginx будет обращаться к этому же серверу на localhost к нашему сервису по порту 8080. А нам будет отдавать нормальный https. Да ещё всякой фильтрации для безопасности можно навесить, чтобы помешать злодеям ломать наш сервис. Но об этом ниже.

Сохраняем файл, перезапускаем службу Nginx. Возможно вы где-то накосячили и ошиблись. Тогда командой

systemctl status -l nginx

смотрим, в чём ошибка. Обычно Nginx достаточно внятно пишет, что ему не нравиться, и даже укавает номер строки конфига, где есть ошибка.


Если служба запустилась без ошибок, то в браузере открываем адрес test.mydomain.com Получится как-то так:

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Обратите внимание, что хотя мы не писали в адресе https, сервер сам перевёл нас на зашифрованный трафик. Всё, мы сделали зеркало сайта! Дальше можно дорабатывать конфиг. Например добавить строчку


proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

Это позволит обеспечить корректную работу куков и нормальную авторизацию на проксируемом сайте. Получится так (показан кусок конфига, только с параметрами проксирования):

location / {

proxy_cookie_domain eng.rkn.gov.ru $host;

proxy_pass_header Set-Cookie;


proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

Можно включить фильтрацию текста. Например заменять слово «Roskomnadzor» на «Roskompozor». Нужно дописать пару строчек (показан кусок конфига, только с параметрами проксирования):

location / {

proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

proxy_set_header Host eng.rkn.gov.ru;

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

sub_filter "Roskomnadzor" "Roskompozor";

sub_filter_once off;

}

Директива

sub_filter «Roskomnadzor» «Roskompozor»;

показывает что на что менять.

Директива

sub_filter_once off;

говорит серверу, что заменить нужно все найденные вхождения. Если не указать, заменит только первое совпадение.

Сохряняем конфиг, перезапускаем службу Nginx и с помощью комбинации Ctrl+F5 (чтобы игнорировать кэш браузера) обновляем страницу в браузере. Получится как-то так :)

Реверс-прокси на службе человечества Инструкция, Linux, Https, Длиннопост, Информационная безопасность

Теперь про фильтрацию заголовков. Это нужно делать, если проксируете трафик к какому-то своему сервису и нужно его дополнительно защитить. Я покажу часть конфига с проксированием со всеми основными примочками безопасности (кусок с ними выделен линиями). Я не буду расписывать — для чего они. Это тема отдельной статьи. Если интересно — легко сможете нагуглить.

location / {

proxy_cookie_domain rkn.gov.ru $host;

proxy_pass_header Set-Cookie;

proxy_set_header Host eng.rkn.gov.ru;

#------------------------------------------------------------------------------------------------------------------------------------------

proxy_headers_hash_max_size 512;

proxy_headers_hash_bucket_size 64;

proxy_set_header Accept-Encoding "";

proxy_set_header X-Forwarded-Proto $scheme;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self';

frame-ancestors https://framer.mozilla.org;

form-action 'self';

base-uri 'self';

script-src 'self' https://mc.yandex.ru https://ssl.google-analytics.com;

img-src 'self' https://mc.yandex.ru https://ssl.google-analytics.com;

style-src 'self' 'unsafe-inline' https://mc.yandex.ru https://fonts.googleapis.com;

font-src 'self' https://mc.yandex.ru https://themes.googleusercontent.com;

frame-src https://mc.yandex.ru;

object-src 'none'

";

add_header X-Frame-Options "DENY";

proxy_cookie_path / "/; HTTPOnly; Secure";

#------------------------------------------------------------------------------------------------------------------------------------------

add_header Front-End-Https on;

add_header Referer-Policy no-referrer;

proxy_pass http://eng.rkn.gov.ru;

}

Если Вам нужно добавить ещё одно зеркало, то порядок действий такой:


1. Добавляет новую A запись с доменом третьего уровня на DNS-сервере. Ждем, пока не начнёт пинговаться с нашего VPS.

2. Создаем ещё один файл конфига в папке /etc/nginx/conf.d/ с секцией для 80 порта (для http) и перезапускаем Nginx.

3. Делаем сертификаты с помощью certbot.

Дописываем секцию для https в конфиг. Указывем пути на сертификаты. Перезапускаем Nginx.


Еще можно добавить ключ для алгоритма Диффи-Хелмана. Настроить автообновлене сертификатов. Как сделать, описано в этой статье.


P.S. Всё, что описано в статье - может сделать каждый! Это не сложно. Повышая свою грамотность в современных технологиях вы делаете мир лучше.

P.P.S. Да, это можно сделать парой команд в докере. Но докер не доступен на виртуалках нижнего ценового диапазона, да и статься, чтобы руки научить.

Показать полностью 10
149

Тесты заплатки для CPU Intel: производительность в играх не затронута

Источник 3DNews


В настоящее время в СМИ распространяется информация о не опубликованной ещё в полной мере уязвимости процессоров Intel, которая требует программной заплатки на уровне ядра всех популярных ОС и в теории может привести к значительному снижению производительности в самых разных задачах. Каковы же потенциальные потери от внедрения исправлений, получивших общее имя KPTI [Kernel Page Table Isolation]?

Ресурс Phoronix, освещающий связанные с развитием дистрибутивов Linux темы, решил провести ранние тесты различных задач на двух системах с ядром Linux 4.15-rc6, главным новшеством которого являются KPTI-заплатки. Уровень падения производительности ожидается в диапазоне от одной до двух цифр — в зависимости от того, как часто задача или приложение взаимодействует с изолированным в отдельной области адресного пространства ядром операционной системы. Если это простые пользовательские приложения, KTPI-обновления не должны сильно повлиять, особенно на более новых процессорах Intel с поддержкой функции PCID (Process Context Identifiers — идентификаторы контекста процесса, используемые процессором для определения закешированной информации, относящейся к различным адресным пространствам).

Тестированию в синтетических пакетах подверглись две системы: на базе Core i7 8700K Coffee Lake с Ubuntu 16.04.3 LTS и Core i7 6800K Broadwell E с Ubuntu 17.10. Компоненты тоже отличались, так что корректнее сравнивать результаты отдельного процессора с активированной заплаткой и без неё.

Например, бенчмарк файловой системы FS-Mark демонстрирует замедление на последнем ядре с Linux при активации KPTI. На системе с высокоскоростным накопителем Samsung 950 PRO NVMe SSD и i7-8700K провал оказывается чудовищным — почти двукратным. В то время как результаты системы с i7-6800K и обычным SSD Toshiba TR150 с интерфейсом SATA 3.0 проседают куда скромнее.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Производительность обеих систем в тесте Compile Bench тоже пострадала. Если это не вызвано x86-заплатками, то в свежее ядро должны были быть внесены другие существенные регрессивные изменения (что весьма сомнительно).
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Работа открытой объектно-реляционной системы управления базами данных PostgreSQL стала тоже заметно медленнее:

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация с замедлением наблюдается и в работе открытого сетевого журналируемого хранилища данных Redis на базе нереляционной высокопроизводительной СУБД:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
В то же время скорость работы приложений, ограниченных при работе преимущественно активностью в области пользовательского пространства, будет затронута, по-видимому, минимально, если судить по тестам кодирования видео в формат H.264, задаче компиляции и декодирования видео через FFmpeg:
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Аналогичная ситуация касается и игровых задач. Судя по ранним тестам, их проблема почти не коснётся. По крайней мере, с переходом на новое ядро в Linux с заплаткам KPTI падение производительности не выходит за рамки статистической погрешности. На системе с Radeon RX Vega 64 и Intel Core i7 8700K Coffee Lake наблюдается следующая ситуация (верхняя полоска — до заплатки, нижняя — после):
Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост

Таким образом, в самых разных играх для Linux, использующих API Vulkan и OpenGL, не наблюдается сколько-нибудь заметного падения частоты кадров в результате использования ядра с обходом уязвимости чипов Intel. Как и в случае с рядом других пользовательских приложений вроде FFmpeg. В то же время ряд синтетических тестовых пакетов или специфические задачи вроде СУБД страдают порой весьма серьёзно. Похоже, рядовым пользователям беспокоиться особенно не о чем, тогда как владельцев облачных серверов на базе чипов Intel проблема, возможно, серьёзно затронет.

Между тем AMD в лице Томаса Лендаки (Thomas Lendacky) официально подтвердила, что её чипы не подвержены уязвимости: «Процессоры AMD не являются объектом тех типов атак, против которых направлены меры защиты KTPI. Микроархитектура AMD не разрешает ссылки на ячейки памяти, в том числе спекулятивные, которые дают доступ к высокопривилегированным данным в менее привилегированном режиме, когда такой доступ может приводить к ошибке страницы. Поэтому следует по стандарту отключать KPTI на процессорах AMD». Обсуждение новости уже привело к падению курса акций Intel и росту AMD.

Тесты заплатки для CPU Intel: производительность в играх не затронута Intel, Процессор, Тест, Производительность, Информационная безопасность, Linux, Уязвимость, 3dnews, Длиннопост
Показать полностью 7
99

Восстановление удаленной папки на NAS с RAID-5

НЕ было бы счастья, да  снова несчастье.

Имеется в моем хозяйстве NAS Thecus n16000pro , в нем 7 HDD *4 tb каждый  под raid 5, имелась на нем папка с общим доступом куда пишутся проект с серверов интерпретации и геофизической обработки, так вот один не хороший человек взял вчера и затер папку, бэкап этой папки есть 2х недельной давности, но там был свежий материал.

Суть боли такова:

1. отсутствие свежего backup по техническим обстоятельствам

2. Жизненная необходимость восстановления  2х папок  из удаленной

Мои предположения по решению: Вынимаю диски , втыкаю в тачку  гружусь в r-studio  и собираю виртуальный raid потом пытаюсь восстановить данные, пока был найден один диск  в массиве с переназначенными секторами и в умирающем немного состоянии, его я по секторно клонирую dd.

Кто нибудь бывал в подобной ситуации и как и какими средствами решал?

за свою жизнь 2  массива я так поднял рассыпанных но они были не из серии raid 5.

По ходу движений буду отписывать результаты сюда,

Кстати , всех с пятницей!

Восстановление удаленной папки на NAS с RAID-5 Raid, Сисадмин, Системное администрирование, Linux, Восстановление, Текст
143

Псевдо защита от "плаксы"

На волне шумихи вокруг WannaCry появились "доброхоты" якобы помогающие защититься от новомодного вируса.
Сейчас как раз восстанавливаю последствия "паранои" и "псевдо-защиты" от "плаксы".....
Девочке рекламный баннер написал, что нужно защититься от вируса и она согласилась - ей поставили некую "чистилку" и "аваст" - после этого доступ к сетевым папкам пропал как класс...
Откатился на предыдущую точку восстановления и все снова заработало! ;)

Псевдо защита от "плаксы" Wannacry, Linux и Windows, Linux, Windows, Информационная безопасность, Сисадмин, Взлом, Компьютерные сети

Заодно решил проверить всю Сервисную сеть на уязвимости и к сожалению нашёл несколько Windows Server 2000 и 2003 с рядом уязвимостей, среди которых был сервер отвечающий за телефонию, на котором "админ" VoIP додумался в качестве Админской учётки использовать связку логин/пароль 1111, а на других серверах его зоны ответственности был чуть более секьюрный логин "Администратор" и пароль "12345678". Разговоры с этим недо-админом и нашим начальством ни к чему хорошему не привели, кроме того, что мне сделали выговор, что я полез в чужие сервера и оклеветал классного специалиста, гордость конторы и семьянина воспитывающего маленького ребёнка...

Псевдо защита от "плаксы" Wannacry, Linux и Windows, Linux, Windows, Информационная безопасность, Сисадмин, Взлом, Компьютерные сети
Показать полностью 1
505

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Когда мы говорим об анонимности в интернете, то чаще всего подразумеваем такие проекты, как Tor, I2P, Tor Browser, DNSCrypt и Live CD TAILS, включающий в себя все перечисленное. Однако существует менее известная, но очень интересная система Whonix, использующая виртуализацию в качестве средства изоляции рабочей станции от глобальной сети и способная защитить твою анонимность даже после взлома.

ВМЕСТО ВВЕДЕНИЯ


Чтобы обеспечить анонимность своего пребывания в Сети, мало установить Tor и завернуть в него весь исходящий трафик. Необходимо позаботиться о таких вещах, как утечки DNS, обнаружение твоего географического положения на основе настроек часового пояса, утечки имени пользователя (через SSH, например), утечки IP-адреса, свойственные некоторым сетевым протоколам, побороть проблему идентификации машины на выходных узлах Tor путем сравнения типов трафика. Ну и в целом придется серьезно повозиться, чтобы заставить все установленные сетевые приложения использовать Tor и не выдавать данных о твоей машине.


Ты можешь сделать все это сам, но лучше взять проверенное готовое решение, а именно дистрибутив TAILS. Он включает в себя множество преднастроенных приложений, корректно настроенный Tor и брандмауэр, так что в целом это достаточно надежная в плане сохранения анонимности и приватности система, которой не гнушался пользоваться сам Эдвард Сноуден.


Однако у TAILS есть два серьезных ограничения. Во-первых, это Live CD, изначально позиционируемый как «одноразовый»: TAILS не умеет запоминать свое состояние между выключениями и не оставляет никаких следов на машине. Как средство для слива секретных документов АНБ несколько раз за всю жизнь это превосходный инструмент, как повседневно используемая система — ужасный. Во-вторых, запуская TAILS на голом железе, юзер автоматически открывает серьезную дыру в своей анонимности. Ведь конфигурация ПК тоже позволяет идентифицировать человека.


Плюс TAILS никак не защищена от компрометации системы. Любой взломавший твою машину сразу деанонимизирует и твой IP, и тебя самого. Чтобы этого избежать, запланировано размещать ключевые системные сервисы в песочницах — но только в версии 3.0, которая непонятно когда выйдет, да это и не даст стопроцентной защиты. А самое печальное, что «благодаря» необновляемости системы ты не сможешь быстро залатать дыру, с помощью которой тебя взломали, придется ждать официальный релиз свежей версии TAILS (при условии, что информация о дыре находится в открытом доступе).


Для решения всех этих проблем как раз и предназначен Linux-дистрибутив Whonix, преследующий те же цели, но достигающий их несколько иным путем.

СИЛА ВИРТУАЛИЗАЦИИ


TAILS распространяется в форме немодифицируемого Live CD не только для защиты от троянов и от возможных утечек конфиденциальных данных при получении физического доступа к машине, но и для банальной «защиты от дурака». Разработчики не могут быть уверены, что пользователь корректно настроит каждое установленное им приложение и не спровоцирует утечку данных или раскрытие своего IP. А если систему нельзя менять, то и проблема пропадает сама собой.


Whonix, с другой стороны, изначально разрабатывался с оглядкой на возможность модификации системы и «настройки под себя», поэтому, кроме используемых в TAILS методов защиты от утечек и фингерпринтинга, здесь реализована довольно интересная архитектура с применением виртуализации. Whonix распространяется в двух образах VirtualBox: один играет роль шлюза в глобальную сеть через Tor, а второй — это рабочая машина с браузером, чат-, email-клиентами и другим софтом, в том числе тем, что можно установить из репозиториев. Оба образа основаны на Debian.


Единственный способ выйти во внешний мир для рабочей машины — это шлюз, единственный путь трафика во внешний мир из шлюза и обратно — через сеть Tor. Неважно, насколько протекающий софт ты установишь на рабочую машину, он все равно тебя не выдаст. Получить доступ к интернету в обход Tor приложение не сможет, IP-адрес увидит только локальный, именем пользователя для него будет просто user (разработчики не рекомендуют его менять), а информацией о железе — стандартная конфигурация VirtualBox. Тебя не удастся отследить даже по временной зоне, часы здесь настроены на UTC, а для синхронизации времени используются time stamp’ы HTTP-заголовков, отдаваемых случайно выбранными веб-серверами.


Самая же интересная черта системы в том, что она вовсе не требует, чтобы ты использовал именно рабочую машину Whonix. Главный компонент здесь — это шлюз, к которому можно подцепить любую другую запущенную в виртуалке ОС, будь то Ubuntu, Windows или OS X, и получить почти такой же уровень защиты от отслеживания (см. официальную документацию). «Почти такой же» потому, что, кроме графического окружения и набора приложений, рабочая машина Whonix включает набор инструментов и настроек, позволяющих защитить тебя от отслеживания с помощью сравнения типов трафика на выходных узлах Tor (identity correlation through Tor circuit sharing) и определения настроек твоих часов и uptime’а через NTP и метки времени TCP/ICMP (все это подробно описано на wiki-странице Whonix).


Первая задача здесь решается с помощью изоляции потоков (stream isolation), все поставляемое в комплекте рабочей машины ПО заранее настроено на использование разных портов Tor (SocksPort) и враппера uwt, перенаправляющего трафик на разные Tor-порты, если приложение само не предоставляет такой возможности (используется для apt-get, cURL, Git и других консольных инструментов). Поэтому трафик всех приложений идет через разные цепочки Tor-узлов на разные выходные узлы. Вторая проблема решается с использованием утилиты sdwdate, которая синхронизирует часы не через NTP, а обращаясь к случайно выбранным серверам.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Концепция stream isolation


Whonix поддерживает любые виды туннелирования трафика Tor через VPN/SSH (или наоборот). Эта функция может очень пригодиться, если твой провайдер блокирует Tor (в этом случае VPN-клиент устанавливается на шлюз и Tor использует его для связи с другими узлами), или для скрытия трафика уже после того, как он покинул выходной узел Tor (VPN-клиент устанавливается на рабочую машину, так что Tor роутит уже зашифрованный трафик).

ПРОБУЕМ


Итак, Whonix — это два преднастроенных образа для VirtualBox или Linux KVM. Поэтому систему можно запустить в любой операционке, для которой есть официальная версия VirtualBox, а это Linux, Windows, OS X и Solaris. Все, что для этого требуется сделать, — это скачать оба образа (суммарный объем 3,5 Гбайт) и затем импортировать их в VirtualBox с помощью меню File -> Import Appliance.


Далее запускаем Whonix-Gateway и дожидаемся его загрузки. После появления рабочего стола (да, у шлюза есть графический интерфейс, так что разберутся даже самые маленькие) система предложит согласиться с дисклеймером, запустить Tor и обновить пакеты, затем запустится утилита whonixcheck, которая проверит подключение к Tor и корректность настроек системы, одновременно с ней отработает служба синхронизации времени sdwdate.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Whonixcheck предупреждает о наличии новых версий пакетов


Сразу скажу о двух неочевидных моментах. Шлюз и рабочая станция Whonix никогда не подключаются к интернету напрямую и используют Tor даже для обновления пакетов из сетевых репозиториев. Поэтому сразу приготовься к довольно значительному проседанию скорости (я получил невероятно медленные по нынешним меркам 500 Кбайт/с).


Второй момент — шлюз совсем не обязательно запускать с графическим интерфейсом, который будет понапрасну жрать оперативку. Более того, здесь есть механизм, автоматически загружающий шлюз в текстовом режиме, если в настройках виртуалки выделить машине 192 Мбайт. Чтобы сделать это, достаточно кликнуть правой кнопкой на Whonix-Gateway, выбрать Settings и на вкладке System сдвинуть ползунок до значения 192. В итоге ты ничего не потеряешь, так как все, что позволяет сделать графический интерфейс, — это перезапустить Tor кликом мыши, отредактировать настройки брандмауэра и запустить интерфейс мониторинга Tor под названием arm (и он текстовый).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Отключаем графику на шлюзе

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Текстовая утилита arm


После окончания загрузки шлюза можно запускать десктоп. Последовательность действий тут почти такая же: запускаем виртуалку, соглашаемся с дисклеймером, соглашаемся обновить пакеты, ждем окончания проверки соединения с Tor и синхронизации времени. Далее можно начать работать. Правда, предустановленных приложений тут кот наплакал. Из повседневно необходимых только Tor Browser, IRC-клиент XChat и KGpg. Причем первый даже не установлен; после клика по иконке запускается инсталлятор, который предлагает выкачать браузер через Tor.

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост
Tor Browser


Остальной необходимый софт ты волен ставить из репозиториев с помощью стандартной команды «sudo apt-get install приложение». В ответ на запрос пароля вводим changeme и, конечно же, меняем пароль с помощью команды passwd.

STREAM ISOLATION


Устанавливая сторонний софт в Whonix, ты сразу столкнешься с проблемой, называемой identity correlation through Tor circuit sharing. Не решусь перевести этот термин, просто скажу, что по умолчанию левый софт использует системные настройки SOCKS-прокси, а это единый стандартный порт Tor (TransPort). Проблема такой настройки в том, что, просто сравнивая типы трафика и их временную связь (например, ты можешь использовать Telegram одновременно с WhatsApp), выходной узел может установить связь между разными сеансами использования приложений и идентифицировать тебя (но не твой IP или географическое положение).


Для борьбы с данным типом атаки в Tor есть механизм, названный stream isolation, он позволяет разделить трафик разных приложений, направив его в разные цепочки узлов Tor. Использовать его довольно просто — надо всего лишь создать в настройках Tor несколько дополнительных портов SOCKS и настроить сами приложения так, чтобы они использовали разные порты. Whonix уже имеет такие настройки: предустановленный софт использует порты 9100–9149. Также в нем есть набор свободных портов для стороннего софта:

• 9153–9159 — свободные;

• 9160–9169 — свободные с опцией IsolateDestAddress;

• 9170–7179 — свободные с опцией IsolateDestPort;

• 9180–9189 — с обеими опциями.


Все, что остается, — это настроить софт на использование адреса 10.152.152.10 и любого из этих портов в качестве адреса SOCKS-сервера. Причем использовать порты с опциями IsolateDestPort и/или IsolateDestAddr я бы не рекомендовал. Они разделяют даже трафик одного приложения на основе адреса удаленного порта или адреса. В большинстве случаев это избыточно и очень накладно (представь, если торрент-клиент или веб-браузер будет использовать разные цепочки узлов Tor для всех соединений).

Виртуальные анонимы. Знакомимся с анонимизирующей операционкой Whonix Анонимность, Операционная система, Whonix, Linux, Информационная безопасность, Журнал хакер, Tor, Длиннопост

Настройки портов для предустановленного софта


ВЫВОДЫ


Whonix, при всех своих странностях и неоднозначностях, определенно стоитвнимания любого, кто хочет обеспечить свою анонимность в Сети. По умолчанию это всего лишь система для запуска Tor Browser, однако при наличии рук и свободного времени из Whonix можно сделать полноценную рабочую систему, и необходимость запуска системы в виртуалке этому нисколько не мешает. Ну и конечно же, стоит помнить, что абсолютной анонимности не существует. Если надо — тебя найдут. Следи за собой, будь осторожен.

Показать полностью 6
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: