Архив рубрики: Security

Безопасность операционных систем и сетей.

Authy: настройка Multi-Factor Authentication для Github и AWS

17 апреля 2019
 

  Уверен, что необходмость использования MFA – Multi-Factor Authentication сегодня очевидна для всех. Для 2FA (2-Factor Authentication) наиболее используемым является TOTP – Time-based One-time Password, когда наряду с паролем для авторизации требуется ввести временный код, генерируемый устройством или утилитой. Самым известным является Google Authenticator, но кроме него существует множество других реализаций. Искал на днях решение… Читать далее »

Jenkins: проверка публичных репозиториев Github-организации

16 апреля 2019
 

 Продолжаем внедрение проверки списка публичных репозиториев организации. Напомню: идея состоит в том, что бы если кто-то из девелоперов случайно расшарит приватный репозиторий, или создаст новый репозиторий не приватным, а публичным – получить об этом уведомление в Slack. Написание самой утилиты на Go есть в посте Go: проверка списка публичных репозиториев в Github и уведомления в… Читать далее »

TestRail: QA Test Case Management система – установка на Linux

22 марта 2019
 

 TestRail – Test Case Management Software for QA and Development Teams. Собственно – этого достаточно для описания) Ниже – описание процесса его установки на Debian с NGINX, Let’s Encrypt, PHP-FPM, MariaDB и Exim. Домашняя страница проекта – www.gurock.com/testrail Документация по установке – тут>>>. Устанавливать будем на AWS EC2. LEMP и SSL Логинимся на сервер: [simterm]… Читать далее »

Prometheus: мониторинг для RTFM – Grafana, Loki и promtail

9 марта 2019
 

 После внедрения Loki на рабочем проекте – решил добавить его и себе. А заодно – добавить node_exporter и alertmanager, что бы получать уведомления, когда на разделах будет заканчиваться место. Обычно “Ссылки по теме” размещаю в конце поста, но тут стоит их добавить в начале. Для общего знакомства с Prometheus: Prometheus: мониторинг — введение, установка, запуск,… Читать далее »

OpenVPN: настройка SSL и hostname

26 февраля 2019
 

 Доводим до ума наш OpenVPN. У нас он уже в продакшене, пользуемся. Вкусно, просто, удобно. Встроенная поддержка ACL вообще замечательна, но о ней, может быть, в другом посте. Сейчас надо настроить SSL, что бы браузеры и клиенты не ругались. Документация по настройке SSL в OpenVPN AS – тут>>>. Let’s Encrypt Устанавливаем Let’s Encrypt клиент: [simterm]… Читать далее »

OpenVPN: настройки DNS и dnsmasq

22 февраля 2019
 

 В продолжение OpenVPN: настройка OpenVPN Access Server и AWS VPC peering – пример настройки DNS. UPD: решение, описанное в этом посте – рабочее, но есть более правильный вариант. См пост AWS: VPC peering DNS resolution и настройки DNS для OpenVPN AS. Дано: домен ci.example.com, который должен резолвиться на публичный IP сервера с Jenkins при подключении… Читать далее »

OpenVPN: настройка OpenVPN Access Server и AWS VPC peering

21 февраля 2019
 

 OpenVPN Access Server предоставляет полностью настроенный и готовый к использованию OpenVPN сервер, который требует минимальной настройки для запуска. Бесплатная версия разрешает использовать 2 одновременных подключения, если требуется больше пользователей – за денежку. Сейчас для доступа к нашим ресурсам, таким как Jenkins, Nexus и т.д. используются правила в Security Group-ах, в которых для каждого пользователя приходится… Читать далее »

Ansible: шифрование и копирование PEM-ключа

5 февраля 2019
 

 Задача – во время выполнения роли скопировать на удалённый хост PEM-ключ. Для этого используем ansible-vault. Идея состоит в том, что мы зашифруем содержимое ключа в переменную, а затем используем модуль copy – и создадим на удалённой системе новый файл. Создание сертификата Сначала создадим сам сертификат и приватный ключ с помощью openssl: [simterm] $ openssl req… Читать далее »

Linux: “unprivileged users with UID > INT_MAX can successfully execute any systemctl command”

6 декабря 2018
 

 Интересная бага сегодня была опубликована в Twitter и Github. Кратко – если у пользователя UID больше, чем INT_MAX в системе – он может выполнять любые операции systemctl. Справдливости ради – это бага не у systemd, а у polkit. Проверям значение INT_MAX: [simterm] $ cat /usr/include/limits.h | grep INT_MAX # define INT_MIN (-INT_MAX – 1) #… Читать далее »

OpenVAS: установка, запуск

24 ноября 2018
 

 OpenVAS – сканер уязвимостей систем. Имеет свою базу данных CVE, используя которую проверяет системы на их наличие. Как обычно – ссылка на документацию на Arch Wiki. Установка достаточно тривиальна, как и первый запуск проверок с дефолтными настройками. Пост чисто обзорный, без описания детальных настроек – может потом доберусь до них, когда время будет, и если… Читать далее »