Категорії
FreeBSD Linux OpenBSD Security Solaris

chattr, chflags и неудаляемые файлы

Как защитить файл от удаления из-под root’a? Ведь root может удалить любой файл? Или не любой? Оказывается, и здесь есть небольшая защита от дурака.

Создатели файловых систем позаботились о том, что бы добавить возможность выставить дополнительные флаги на файлы или папки, которые бы ввели дополнительную защиту:

– нельзя удалить файл (неважно под каким пользователем это делать)
– можно только дописывать/добавлять, но не изменять или удалять

а так же много других возможностей. Напомню, что это свойство файловой системы, а не ОС, поэтому, не для всех ОС эти свойства применимы

Категорії
FreeBSD Linux OpenBSD Solaris

Измеряем скорость соединения

Если появилась задача измерять скорость работы между 2-мя хостами, то лучшего инструмента, чем iperf/ttcp не найти.

Оба этих инструмента нужно запускать с обеих концов проверяемой трассы.

Категорії
FreeBSD Linux OpenBSD Solaris

Контролируем процессы

nice (linux/freebsd/solaris/openbsd)

Утилита nice запускает программу, заданную аргументом программа, с
изменённым приоритетом планирования, увеличивая eё значение “nice” на
указанное приращение. Если приращение не указано явно, оно полагается
равным 10. Чем меньше значение nice у процесса, тем более высокий прио-
ритет он имеет.

Суперпользователь может также указать отрицательное приращение, чтобы
запустить программу с более высоким приоритетом.

Категорії
FreeBSD Linux OpenBSD Solaris Windows

Контроль ошибок жёстких дисков и подвисания системы.

Есть замечательная статья http://habrahabr.ru/post/92701/ и в ней описаны моменты, о которых многие наверное и не слышали. Это касается контроля ошибок чтения/записи. Не буду пересказывать статью, а лишь добавлю от себя некоторые моменты:

SCT параметры можно выставить не на всех диска, даже если они “крутые” или Raid edition и даже если smart сказал вам, что поддерживается.
– Всегда выставляйте таймаут (если диск позволяет) чтения/записи (лучше пускай диск выпадет из raid’a, чем подвиснет сервер). Особенно это касается zfs
– Если smartctl ругается INVALID ARGUMENT TO -l то просто обновите версию smartctl хотя бы до 5.40

Я был свидетелем того, как из-за не установленных таймаутов, подвисали процессы, которые не убивались через kill -9.

Категорії
FreeBSD Linux OpenBSD Solaris

Трассировка приложений

Linux

strace/SystemTap/ftrace/ktap/pspy

FreeBSD

truss/ktrace/dtrace

OpenBSD

ktrace/kdump

Solaris

truss/dtrace

==================================

Misc


https://klarasystems.com/articles/freebsd-vs-linux-tracing-and-troubleshooting

Категорії
FreeBSD Linux OpenBSD Solaris

Смотрим сетевой трафик в Realtime

Linux

$watch /sbin/ifconfig -s eth0

FreeBSD/OpenBSD

$netstat -w 1 -I em0

Solaris

$netstat -I net0 1
$dlstat -i 1 net0
#dladm show-link -s -i 1 net0

Здесь (http://www.brendangregg.com/Perf/network.html) неплохой подбор по утилитам замера трафика для Solaris

Категорії
FreeBSD Linux OpenBSD Solaris

Монтирование ISO-образов

Рассмотрим монтирование iso-образов в разных ОС

Linux

смонтировать

#mount -o loop -t iso9660 file.iso /mnt/test

размонтировать

#umount /mnt/test

Категорії
FreeBSD Linux OpenBSD Security

Повышаем безопасность

Частенько системные администраторы не отдают должное безопасности, а зря. Пусть даже это не важный сервер, но тем не менее, однажды он может стать зомби в каком-нибудь ботнете, который будет кого-то DDoS’ить или распространять malware.

Предлагают вашему вниманию рассмотреть какие следует предпринять меры для предотвращения этого:

Категорії
FreeBSD Linux OpenBSD Solaris Windows

Убиваем сетевые соединения

Что делать, если у вас уже есть сетевое соединение с типом ESTABLISHED и его нужно принудительно убить? Не всегда файервол сможет это сделать да и не всегда это удобно. Выход есть:

– tcpkill из набора dsniff (Linux only)
– Killcx (Linux only)
– tcpdrop (BSD/Solaris only)
– CurrPorts (Windows only)
– Cutter (Linux only)

Категорії
FreeBSD OpenBSD Security

Блокируем подбор паролей в pf стандартными средствами

PF – очень мощный инструмент и в его арсенале имеются штатные средства для блокировки паролей. И так нужна такая конструкция:

table <badhosts> persist
...
block drop in quick on $ext_if from to any label "ssh bruteforce"
block drop out quick on $ext_if from any to label "ssh bruteforce"
...
pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 flags S/SA keep state (max-src-conn-rate 1/60, overloadflush global)

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP