#tools

Слышал как-то об инструменте для тестирования конфигураций веб-сервера nginx на наличие уязвимостей, но не обратил на него внимания. Сейчас узнал, что этот инструмент имеет в репозитории хорошо описанные сценарии эксплуатации искомых уязвимостей и неплохую Вики. Оцените:
https://github.com/yandex/gixy

P.S. вот например всем известная aliastraversal: https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md

Введение в Kubernetes для пользователей VMware. Часть 1. Теория
https://habr.com/post/436028/

Securing Web Applications

Web application security is much more than an IT problem. It can become a significant business problem if not handled aggressively. Attacks on web applications can circumvent your security and harm your business in myriad ways by creating unwanted downtime, reducing availability and responsiveness, and shattering trust with your customers when data confidentiality and integrity is compromised.

Очень интересный доклад от Gregory Stark на PGCONF EU 2018 про построение мониторинга PostgreSQL с помощью Prometheus и Grafana. С реальными примерами, графиками и теорией про USE, RED.
P.S. Видео к сожалению пока не нашлось ¯\_(ツ)_/¯

Блог: http://amp.gs/VpF6
Конференция: http://amp.gs/VpXj
Слайды: http://amp.gs/VpXI
#monitoring #prometheus #postgresql

Отличные новости! Все видео докладов HighLoad++ Siberia теперь в открытом доступе. Вот ссылка на плейлист.

И не забудьте сверить свои планы с расписанием HighLoad++ на этот год: highload.ru

Илья @ipestov, ведущий канала @groks, опубликовал на VC любопытную подборку цифр про ушедший год. Интерпретировать можно по-разному, но почитать в любом случае полезно. В частности, разделы про Китай ($15,4 трлн — сумма всех транзакций в Alipay и WeChat Pay ещё в 2017. Для наглядности, гиганты Visa и Mastercard в прошлом году обработали транзакций на сумму в $12,5 трлн - как пример цифр), крипту и экономику досуга помогают перенастроить мозги, а то я удивительно часто сталкиваюсь с людьми, у которых картинка мира в голове устарела лет как минимум на пять ;)
https://vc.ru/flood/55348-retrospektiva-2018-god-v-cifrah

Ну вот и приехали

https://www.linux.org.ru/news/proprietary/14737903

Майкл Библь ушёл с поста мэйнтейрнера systemd в Debian
http://www.opennet.ru/opennews/art.shtml?num=49969
Майкл Библь (Michael Biebl), участвующий в разработке Debian с 2004 года и один из основных участников перевода проекта на системный менеджер systemd, демонстративно ушёл с поста мэйнтейрнера пакетов systemd в Debian, назвав сложившуюся ситуацию с исправлением ошибок в systemd глупостью и безумством, а также пообещав больше не отправлять разработчикам systemd отчёты об ошибках. #opennet

Nginx mirroring tips and tricks

https://alex.dzyoba.com/blog/nginx-mirror/

Amazon представила сервис AWS Backup для резервного копирования
https://habr.com/ru/post/436414/
Tags: Облачные сервисы, Резервное копирование, Amazon, AWS Backup, бэкапы
Author alizar on #habrahabr

Миграция с Mongo на Postgres: опыт газеты The Guardian
https://habr.com/ru/post/436416/
Tags: Блог компании ITSumma, MongoDB, PostgreSQL, Администрирование баз данных, Системное администрирование, перевод, базы данных, миграция, mongodb, postgresql
Author eapotapov on #habrahabr

@servers уже писал на своем канале об мониторинг SSL на своем канале

Но что-то он никак не запилит пост об:
1) https://servermonitoring.me - умеет в:
- мониторинг SSL,
- uptime ip
- uptime domain
- server monitoring по средством клиента.
- удаленное выполнение комманд ч/з установленный клиент, но только если включить эту опцию при добавлении нового сервера в админ панели, по дефолту такого нет.
- шлет оповещалки на почту
upd: можно боту в skype😏 + боту в Slack

2) https://uptimerobot.com - умеет разные штуки, но проще чем сервис выше:
- uptime ip
- uptime domain
- port monitoring
- проверка доступности сайта по keyword, по авторизации пользователя.
- шлет алерты на почту, есть поддержка webhooks

3) http://ping-admin.ru - тут уже все на русском но:
- Ping
- Детальная разовая проверка сайта
- Traceroute
- Проверка обратных ссылок
- Регулярная проверка сайта
- Проверка ИКС ( хз что это, но для xyz домена видно не применимо )

К чему это я пишу? К тому, что вдруг вам лень ставить всякие Nagios, Zabbix и тд. и тп., а простой мониторинг с разных мест будет вам вещать о проблемах на почту.

PS: там кстати при регистрации присылают от https://servermonitoring.me email, и говорят, что за 5 френдов приведенных с фейсбука иди ревью сервиса, вас переводят в premium акаунт, где можно подключать в мониторинг 25 серверов, а если вы сделаете оба условия - дадут возможно мониторинга 50 серверов. Дерзайте🤘

Да, вот и моя реферальная ссылка 🤷‍♂️😅

Нетак давно я делал пост об Gotify, которая работает на бинарнике Go и принимает, а потом и пушит вам в вебпанель браузера или в приложение на телефоне.

И вот решил сделать +1 способ получать алерты от Zabbix .
Ссылка на репозиторий - https://github.com/denisgolius/zabbix-to-gotify-alert
PR и Issues приветствуются.🖖🏻

Есть конечно и https://github.com/ableev/Zabbix-in-Telegram от Ильи, но если уж кто боится за Телеграм и его блокировки, то такой вариант вполне себе.

PS: gotify умеет ИзКаРоБкИ в letsencrypt, sqlite/MySQL/PostgreSQL можно использовать как базу для хранения истории пушей и всего прочего.

When there's too much fire in your firewall...😔

https://twitter.com/i/status/1084124788451356678

February 13, 2019: End-of-Life for All TLS-SNI-01 Validation Support

Let’s Encrypt allows subscribers to validate domain control using any one of a few different validation methods. For much of the time Let’s Encrypt has been operating, the options were “DNS-01”, “HTTP-01”, and “TLS-SNI-01”. We recently introduced the “TLS-ALPN-01” method. Today we are announcing that we will end all support for the TLS-SNI-01 validation method on February 13, 2019.

In January of 2018 we disabled the TLS-SNI-01 domain validation method for most subscribers due to a vulnerability enabled by some shared hosting infrastructure 358. We provided temporary exceptions for renewals and for a small handful of hosting providers in order to smooth the transition to DNS-01 and HTTP-01 validation methods. Most subscribers are now using DNS-01 or HTTP-01.

If you’re still using TLS-SNI-01, please switch to one of the other validation methods as soon as possible. We will also attempt to contact subscribers who are still using TLS-SNI-01, if they provided contact information.

We apologize for any inconvenience but we believe this is the right thing to do for the integrity of the Web PKI.

Вобщем-то и целом нужно пересмотреть, что там у кого наставлено 🤨
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Как чистить место на диске?

Вроде и вопрос банальный и проблеме сто лет в обед, но в последнее время он возникает так часто, что я решил написать несколько строк по этому поводу. С технической стороной вопроса все вроде бы понятно. Мониторинг настроили, алерты приходят, rm -rf отрабатывает. Но как быть с организационной частью?

Если мы говорим про данные (пользовательские, логи, статистика и тд), то непременно встает вопрос о том как долго их хранить. Без ответа на этот вопрос невозможно настроить автоматическую очистку старых данных, невозможно рассчитать объем хранилища, которое потребуется, да вообще ничего сделать нельзя.

Когда в ответ на этот вопрос вам говорят что храните столько сколько влезет на диск, то это не ответ. Хотя выглядит похоже. По сути этим ответом, проблему с политикой хранения переложили на диск. А диск ни черта не знает про то, что это за данные, кто их использует и как их используют.

Простой пример. У вас есть статистика по продажам вашего продукта. И вот вы поставили задачу хранить столько, сколько влезет на диск. Отлично! В какой-то момент на этой же базе разрослась тестовая таблица. Действуя согласно плану по хранению статистики продаж вы взяли и дропнули все данные за последний год и оставили там последние пару дней. Под условие подходит? Да. Мы нарушили инструкцию? Нет. Все правильно сделали? Да. А бизнес только что продолбал все историю продаж благодаря условию "храним сколько влезет".

Если бы у вас была политика хранения и очистки статистики продаж, то вы бы не смогли взять и удалить эти данные. Вы бы пошли искать что еще занимает место на диске, попытались бы очистить что-то другое. И в конце пришли бы к бизнесу с вопросом - нам нужны деньги на диск. И смогли бы это обосновать за 10 секунд. Примерно так: "Согласно политике, эти данные надо хранить 5 лет. Диск у нас на 1Тб - он закончился. Так что либо докупаем диск, либо меняем политику хранения".

Поэтому ответ на вопрос "Сколько и какие данные хранить?" безумно важен. Вы должны четко понимать кто и как использует какие данные и в зависимости от этого выработать политику очистки, агрегации и архивации этих данных. Совместно с продуктом, конечно.

Если вам отвечают хранить столько сколько влезет, то это означает ровно одно: Тот кто отвечает абсолютно не понимает кто и как использует эти данные. И вы со спокойной душой можете взять и дропнуть все нафиг, оставив данные за последний день. Чтобы такого не случилось - сходите и выясните политику очистки ваших данных.

https://www.linux.org.ru/forum/talks/14739618

вот это номер 😒