Перейти к содержимому
Local

major12

Маглы
  • Публикации

    83
  • Зарегистрирован

  • Посещение

  • Дней в лидерах

    2

Последний раз major12 выиграл 29 июня 2014

Публикации major12 были самыми популярными!

Репутация

11 Хороший

О major12

  • Звание
    Первая Кровь

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Припустимо що ви заблокувати фаєрволом щось маленьке, наприклад 154.47.36.16/32 або щось велике, наприклад 178.154.128.0/17. І вам цікаво куди пробують стукатись користувачі чи мобільні аплікації. HTTP зараз стає менш популярним, більшість коннектів відбувається по HTTPS (TLS). Переважна більшість серверів і клієнтів вміють і будуть використовувати SNI https://uk.wikipedia.org/wiki/Server_Name_Indication Цим фактом ми і скористаємось. Отже крок 1 - перезбираємо nginx cd /usr/ports/www/nginx make config опції які нам потрібні [x] STREAM Enable stream module [x] STREAM_SSL_PREREAD Enable stream_ssl_preread module ну і далі make install clean чи portmaster nginx 2 - конфігуруємо nginx stream { log_format main '[$time_local] $remote_addr $server_addr "$ssl_preread_server_name"'; access_log /var/log/ssl_preread.log main; server { listen 843; ssl_preread on; return ""; } } Коментарі: потрібно саме секція stream а не звична http рядок return ""; означає повернути 0 байт і закрити з'єднання, можна пробувати повертати щось інше, наприклад "Blocked!", але TLS стек клієнта ітак їх не зрозуміє і розірве конект. Не забуваємо перезапусти nginx і перевіряємо що він слухає порт netstat -na | grep 843 3 - перенаправляємо трафік ipfw add 05210 fwd 127.0.0.1,843 tcp from any to table\(40\) dst-port 443 В табличці 40 адреси які моніторимо (і блокуємо теж, бо коннекти на порт 443 будуть йти на наш nginx) Результат В файлі /var/log/ssl_preread.log маємо рядки типу [23/Dec/2018:19:13:28 +0200] 192.168.33.38 178.154.131.216 "yastatic.net" [23/Dec/2018:19:13:33 +0200] 192.168.25.47 87.240.129.133 "vk.com" Перша айпішка це клієнт, друга це (заблокований) ресурс. Раджу слідкувати за розміром логу, бо запитів від мобільних аплікацій дуууже багато. Користуємось поки не прийшов ESNI (Encrypted SNI), де хостів видно не буде.
  2. major12

    FreebSD: тюнинг и оптимизация

    Провайдеру воно не потрібно зовсім. Ці параметри не стосуються транзитного трафіку. Хіба ви тюнінгуєте свій веб сервер.
  3. major12

    Релиз АСР системы ABillS 0.7x

    Воу воу воу. Палєхче. Я біллінгів не розробляю, Асмодеуса бачив 1 раз більше 10 років тому і на перлоту вже років 5 теж не дивлюсь, навіть краєм ока. Просто мимо проходив, а народ тут поради питає.От і описав що може бути помічного. За темою слідкую, щоб побачити коли буде фікс, зробити діфф 2-х версій і проаналізувати для себе у чому була проблема. Хоча в рамках 1 квітня можу запропонувати власникам/адмінам вчити перл https://jobs.dou.ua/salaries/#period=dec2016&city=all&title=Junior%20Software%20Engineer&language=Perl&spec=&exp1=0&exp2=10 Медіана $650 - для новичка чудово, хоча підозрюю що там вся статистика базується на 1-й вакансії.
  4. major12

    Релиз АСР системы ABillS 0.7x

    Див останній мій абзац. Халяви нема. Я просто запропонував кроки, які може зробити власник/адмін мережі, без авторів біллінгу.
  5. major12

    Релиз АСР системы ABillS 0.7x

    Как избежать подобных ситуаций? Якщо є софт, який можливо має баги, впроваджуйте додаткові рівні захисту. Якщо доступ "до адмінки" потрібен тільки вам (і обмеженій кількості працівників) розгляньте наступне: 1. додайте HTTP Basic Auth - потрібно буде додатковий логін і пароль, щоб просто побачити хоч щось. Недолік - брутфорситься. Але якщо використовувати логін не "admin", а щось складніше - має право на життя. 2. додайте автентифікацію по HTTPS user сертифікатах. Не ламається, але адмін має вміти прочитати man openssl і нагенерити сертифікатів раз в рік. 3. пункт 1 разом з пунктом 2. (Я вибрав такий варіант, наприклад, для одного з своїх веб сервісів) 4. інші варіанти типу VPN в інтранет і адмінка доступна тільки звідти. 5. інші *збочені* варіанти типу port knocking. Якщо кусок сервісу має бути доступним для всіх - типу "персональний кабінет абонента" - тоді все набагато печальніше.
  6. major12

    Релиз АСР системы ABillS 0.7x

    Тепер Асмодеус має логи. І якщо ін'єкція була через GET - то 99% інформації про вразливість. Якщо через POST - то 90% інформації (назву вразливого скрипта або урл по якому відслідкує обробник). Відповідно багу пофіксає. Все так як здогадувався Зібубе Треба була жертва... 1 штука
  7. А по темі: ніхто не пробував через хапроксі по доменних іменах пропускати?
  8. Питаю бо в інтела є замути, наприклад Якщо увас мережева універсальна, скиньте номер карточки в ПП, куплю 1 шт ознайомитись.
  9. Доброго дня Є питання: чому в даташіті ця мережева описується як 3 окремих продукти По вашому опису вона виглядає одна універсальна.
  10. major12

    freebsd 10.0 amd64 & dummynet

    Попробуйте з GRED щось типу gred 0.002/200/250/0.1 queue 400 buckets 65536
  11. major12

    ЗП админа в Украине

    І ще мати на увазі що на таку сеньйорну позицію від вас захочуть 5-7 років досвіду в аутсорсі і порядну англійску мову
  12. major12

    ЗП админа в Украине

    Дані вакансії відносяться до іноземних замовників (офшор). Це і є нормальна основна робота де і можна мати 3к.
  13. major12

    ЗП админа в Украине

    Девопс це такий же розвиток адміна, як і перехід від manual QA до automation QA. Не треба змішувати з менеджмент посадами. А щодо ssh - то не руками потрібно логінитись і адмініструвати, а використовувати інструменти типу ansible, які будуть автоматизувати роботу по тому ж ssh.
  14. major12

    ЗП админа в Украине

    Підтримаю (цитата Субчика) Все таки основна робота - 3к, а адмінити провайдера можна за символічну плату (чи навіть за пиво ).
×