1) Поддержка gmirror
options GEOM_MIRROR
2) Поддержка ZFS
options OPENSOLARIS
options ZFS
1) Поддержка gmirror
options GEOM_MIRROR
2) Поддержка ZFS
options OPENSOLARIS
options ZFS
Частенько системные администраторы не отдают должное безопасности, а зря. Пусть даже это не важный сервер, но тем не менее, однажды он может стать зомби в каком-нибудь ботнете, который будет кого-то DDoS’ить или распространять malware.
Предлагают вашему вниманию рассмотреть какие следует предпринять меры для предотвращения этого:
Что делать, если у вас уже есть сетевое соединение с типом ESTABLISHED и его нужно принудительно убить? Не всегда файервол сможет это сделать да и не всегда это удобно. Выход есть:
– tcpkill из набора dsniff (Linux only)
– Killcx (Linux only)
– tcpdrop (BSD/Solaris only)
– CurrPorts (Windows only)
– Cutter (Linux only)
PF – очень мощный инструмент и в его арсенале имеются штатные средства для блокировки паролей. И так нужна такая конструкция:
table <badhosts> persist
...
block drop in quick on $ext_if from to any label "ssh bruteforce"
block drop out quick on $ext_if from any to label "ssh bruteforce"
...
pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 flags S/SA keep state (max-src-conn-rate 1/60, overloadflush global)
Предположим, вам нужно будет создать одно правило для целой кучи интерфейсов вида int0, int1, …, intN, … Создавать на каждый интерфейс отдельное правило – слишком сложно, а если на каждый интерфейс не одно правило, а интерфейсов 20 или 100? на помощь приходят записи для группировки. И так, будет рассмотрены варианты для разных файерволов (для примера взяты интерфейсы tun0, tun1, …).
Как быстро узнать что у вас установлено на сервере с помощью подручных средств?
Рассмотрим команды для следующих систем: Linux, FreeBSD/OpenBSD, Solaris
Что же это такое? Это очень удобный механизм предоставления доступа после авторизации по ssh. Чем-то напоминает port knoking. Идея заключается в следующем: пользователь авторизируется через ssh (можно использовать пароль, но ключи удобнее) и после успешной авторизации запускаются соответствующие правила файервола pf. В них-то можно указать разрешения или нужные пробросы.
В ssh по умолчанию включено много методов авторизации, которые в 99% случаев не используются. Точнее в 99% используется стандартный метод PAM авторизации логин/пароль. Что бы ускорить процесс, внесём некоторые настройки в конфигурацию ssh
Рано или поздно встаёт вопрос бэкапа базы. Учитывая тенденции, базой в несколько гигабайт сейчас никого не удивишь. Да и процесс бэкапа сейчас уже немного другой, нежели раньше. Просто банально выполнить mysqldump – сейчас мало кто использует, так как есть ряд причин:
– для таблиц MyIsam она полностью блокирует на запись все таблицы на момент бэкапа
– процесс выполняется достаточно долго
– данный процесс может сильно нагружать дисковую систему
Иногда бывают ситуации, когда в top’e вроде бы всё нормально, но сервер всё равно тормозит. Тогда нужно обратить внимание на нагрузки дисковой подсистемы. В статье мы рассмотрим варианты для Unix систем: FreBSD, OpenBSD, Linux, Solaris.