СтатьиПодписка на Статьи

Блокируем много IP адресов с помощью ipset и iptables

Вопросы борьбы со спамерами, ботами и прочей нечистью всегда актуальны. Хорошо когда список небольшой, с помощью iptables это решается элементарно, но вот когда адресов пару тысяч ... тут уже приходится не сладко.

И тут на помощь к нам приходит (барабанная дробь) ipset.
Ipset позволяет использовать большие таблицы IP и MAC адресов, подсетей, номеров портов совместно с iptables (подключение производится через одно правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком.

Установка LNMP - nginx, mysql, php-fpm - Gentoo, Debian, Ubuntu, CentOS

Это руководство открывает серию материалов по установке известных систем управления содержимым (CMS) на веб-сервер Nginx. В отдельную статью необходимо выделить общую часть, которая будет одинаковой для всех CMS, написанных на PHP (грубо говоря мы сделаем тот же LAMP, только вместо громоздкого и неповоротливого веб-сервера Apache у нас будет Nginx). Задача данного руководства – установка веб-сервера Nginx, системы управления базами данных MySQL и менеджера процессов FastCGI (FPM), а также их настройка.

CentOS 6.4 - Установка и настройка системы виртуализации и гипервизора Qemu-KVM

Исходные данные:
Физический сервер Asus, 4 ядра, 16 Гб RAM, 1Тб HDD четыре штуки, собранные в RAID10, 4 гигабитных сетевых карты.

Требуемая площадка минимум для:

  1. Windows Server 2008R2 Standart RUS полная установка — контроллер домена.
  2. Windows Server 2008R2 Standart RUS Core — обновление системы КонсультантПлюс.
  3. CentOS 6.4 х64 — антивирусный и кеширующий прокси-сервер, файл-сервер.
  4. Windows 7(8) х64(х32) — тестовая машина.

Геоинформационная система 2gis в корпоративных сетях

2ГИС — бесплатный справочник организаций с картой города. Имеются карты городов России, Украины, Казахстана и Италии
Официальный сайт: http://2gis.ru/

2ГИС — это полная и всегда актуальная информация о городе:
телефоны и адреса организаций;
адреса их сайтов и e-mail;
расписание работы организаций;
карта вашего города и его городов-спутников;
маршруты городского транспорта.

Назад к истокам. Установка GNOME вместо Unity в Ubuntu 12.04

Ни для кого не секрет, что Unity нравится далеко не всем :) У каждого на это свои причины, кому внешний вид не нравится, кому то сама работа и тд. Сегодня я бы хотел рассказать тому, кто этого еще не знал, как установить GNOME вместо Unity в Ubuntu 12.04.

Gentoo - установка, stage3, кратко

Не хотел писать про установку gentoo все-таки есть Handbook (русский вариант не совсем новый) для этого¸но все же некоторые моменты думаю будут полезны.
Данную статью не воспринимать как доскональное руководство к действию, просто попытался написать "быстрый старт" из stage3.
Для начала установки нам нужен любой Linux дистрибутив, можно Live, например Gentoo Live DVD, или SystemrescueCD.
Про то как разбить диск и создать раздел для установки писать не буду, также необходимо знать что такое chroot в Linux.
Если нужны дополнительные настройки (например, программная поддержка RAID), смотрим TipsTricks.

Siege — утилита для нагрузочного тестирования веб-серверов

Siege – это утилита для нагрузочного тестирования веб-серверов. Она была создана для того чтоб дать разработчикам возможность проверить ресурсоёмкость своего кода в условиях, максимально приближенных к реальным. Так же Siege может имитировать обращения к сайту сразу нескольких пользователей. Это позволяет держать сервер как бы «под осадой» долгое время.

Скрипт для установки драйверов Nvidia/Ati (sgfxi)

Установка и обновление драйверов Nvidia/ATI с помощью sgfxi (скачивает и устанавливает драйвера с официального сайта производителя)
Sgfxi — простой скрипт, позволяющий легко устанавливать и обновлять закрытые драйверы видеокарт. На сегодняшний день поддерживаются драйверы ATI fglrx и Nvidia.
Sgfxi поддерживает следующие дистрибутивы: Debian Stable, Debian Testing, Debian Unstable. Так же поддерживается текущая версия Ubuntu, а в последних версиях обеспечена работа на Archlinux. К сожалению не все функции скрипта работают на всех дистрибутивах одинаково. Так же нужно отметить, что поддержка ATI fglrx может меняться время от времени и в зависимости от дистрибутива.

Bonnie++ тестирование производительности жестких дисков и ФС

Набор программ называется Bonnie++ потому, что за основу была взята программа Bonnie. К возможностям предшественницы эта программа также тестирует производительность посредством создания огромного количества файлов. В набор включена программа zcav для тестирования непосредственного (raw) чтения. Существует много различных типов операций над файлами и разные программы их по разному используют. Bonnie++ тестирует некоторые из них и выводит результат по каждому из тестов.

25 правил .htaccess, которые должен знать каждый web-разработчик

Оригинал статьи - Blogerator.ru Игорь Савчук.

Прежде чем мы начнем, обращаю ваше внимание на тот факт, что злоупотребление использованием .htaccess может привести к снижению производительности вашего сайта. Главное правило: использовать .htaccess для реализации той или иной задачи стоит только в том случае, если нет других вариантов.

Vsftpd дежурный конфиг ftp сервера

Бывают ситуации, когда необходимо быстро и не вдаваясь в подробности поднять ftp сервер, у меня для этого служит дежурная конфигурация vsftpd.
Сначала установим его.

Отделяем /home от корня без перезагрузки

Допустим при установке мы не особо уделили внимание к разметке диска, и установили Linux в один раздел, но место начало заканчиваться, либо просто хотим более правильно разметить диск.
Первое что необходимо сделать это конечно же отделить домашний каталог - /home, рассмотрим как это сделать:
Смотрим /etc/fstab нас интересует куда смонтирован корень системы (/) - пусть будет /dev/sda1.
Далее нам необходимо подготовить раздел для будущего домашнего каталог (/home), как это сделать заострять внимание не буду - пользуйтесь fdisk, cfdisk, gparted.
Подготовили пусть это будет - /dev/sda2 - на самом деле если в системе два жестких диска лучше /home разместить на другом, общая отзывчивость системы будет лучше.
Но остановимся на том что есть.

Debian простой шлюз и firewall

Каждый выход в интернет не только дает возможность подключаться к различным серверам и сайтам, но и создает потенциальную опасность проникновения на наш компьютер извне. Не стоит пренебрегать этой опасностью. Ситуация усугубляется оттого, что в некоторых (пока еще) широко распространенных операционных системах по умолчанию остаются открытыми многие порты, что позволяет подключаться из интернета к пользователю незаметно для последнего.
Поэтому в основу любого firewall должны быть заложены правила по закрытию и контролированию портов.
В нашем случае действуют политики по умолчанию - всё закрыть, открыть извне только то что нам необходимо ("block everything, then open up holes as neccessary"), а также сам шлюз и компьютеры локальной сети могут открывать порты в обратную сторону самостоятельно, вот как эти правила выглядят на языке iptables:

Пять простых способов повысить безопасность системы

Блокировка учётных записей.
Автоматическая блокировка учётных записей при нескольких неудачных попытках входа в систему иногда добавляет головной боли системным администраторам, ввиду того, что не всякий пользователь утруждает себя запоминанием собственного пароля с первого раза. С другой стороны, функция автоматической блокировки учётных записей позволяет администраторам вовремя выявить некоторые попытки несанкционированного доступа к системе и своевременно заставить пользователя сменить пароль.

Обычно удалённая система разрывает соединение после трёх неудачных попыток входа в систему. Однако, вы можете сразу же подключиться заново и продолжить попытки входа. Разрешая подобное поведение системы, вы делаете её более уязвимой к брутфорс-атакам. Не обходите стороной этот момент и настройте блокировку учётной записи после определённого количества неудачных входов в систему. Я обычно устанавливаю порог равным трём неудачным попыткам.

Добавьте следующие строка в файл /etc/pam.d/system-auth:

Iptables: Учим правила

Учим правила.
В iptables правило фильтрации определяет, как из общего потока данных отбирать определенные пакеты и что с ними делать. С приходящим или уходящим пакетом ты можешь сделать не очень много, но этого вполне достаточно, чтобы создать довольно мощную защиту.
Пакет мы может принять, отбросить с уведомлением отправителя пакета, уничтожить или переслать на другое правило или куда-то еще. Несколько правил составляют цепочку. Фильтр просматривает правила в цепочке одно за другим и выполняет предписанные действия.
Есть стандартные цепочки, но можно намутить и пользовательские, их может быть сколько угодно и каждая из них может иметь свое имя. Теперь немного о стандартных цепочках. Стандартная цепочка INPUT. В нее попадают все ВХОДЯЩИЕ в фильтр пакеты.
Цепочку INPUT проходят пакеты, которые предназначены локальным приложениям (самому firewall'у).

Конфиг iptables внезапно найденный на gentoo.ru

Без комментариев, найдено тут
Понравилась реализация.

Защита ssh средствами iptables

  • Ограничение количества подключений
  • Для защиты от brute force (перебора паролей), можно ограничить количество подключений на 22 порт с одного ip адреса до нескольких раз в минуту, после чего блокировать попытки подключения для данного ip.

    Запуск процессов в указанное время - cron

    В OC LINUX периодическим выполнением процессов управляет демон cron. Он запускается во время начальной загрузки системы и остается в активном состоянии, пока система не выключена. Демон cron читает файл конфигурации, который называется crontab-файлом, содержащий последовательность командных строк и расписание их вызова. Командные строки обрабатываются интерпретатором sh, поэтому почти все, что можно сделать из shell вручную, можно перепоручить процессу cron.

    Кеширующий DNS сервер Unbound

    Unbound - это кеширующий DNS сервер который обслуживает исключительно рекурсивные запросы. Во время работы сервера кеш целиком распологается в памяти, а его размер ограничен указанным объемом. Unbound поддерживает расширения DNSSEC и может работать как "validator". В качестве плюсов Unbound по сравнению с BIND надо отметить все те же скромные размеры и скорость.

    Con Kolivas: BFS.(Brain Fuck Scheduler) - FAQ BFS

    Con Kolivas - примерный перевод FAQ BFS.
    Цитата:
    Почему я написал его?
    После многих лет использования моего старого ядра [Линукса] и многочисленных обновлений железа, в конце концов у меня появилось оборудование, которое требовало новых драйверов ядра, а также мне хотелось попробовать новые файловые системы. Загрузка в стандартное ядро [основная ветка на kernel.org] была достаточно обнадёживающей в том, что поведение планировщика стало гораздо лучше, чем в старых ядрах. Однако, много времени не потребовалось, чтобы я разочаровался и в этом [планировщике]. Случайные зависания при движении курсора мыши и нажатиях клавиш, странное распределение процессорного времени при разных вариантах нагрузки на систему и непредсказуемое поведение - это всё то, что, я надеялся, уже исправили. Поэтому я сделал то, чего поклялся никогда не делать - изучил код [планировщика CFS в ядре]. Увидев, что он превратился в монстра невероятных размеров, я сел и поразмыслил, что же в нём не так.

    Страницы