Под стеком web-приложений мы будем подразумевать множество программных продуктов с открытым исходным кодом: операционная система, web -сервер, сервер БД и среду исполняемого кода. Наиболее известным и обыденным стеком является LAMP. Это акроним для стека web-приложений на базе бесплатных решений с открытым исходным кодом. Название составлено из первых букв входящего в его состав продуктов: Linux (операционная система), web -сервер Apache, база данных MySQL, и PHP (иногда Perl или Python). Опубликованные нами ранее материалы, посвященные вопросам безопасности, рекомендуют держать различные сетевые службы на выделенных под эти цели серверах или виртуальных машинах. Это позволит изолировать скомпрометированные и взломанные злоумышленником элементы системы, в случае если последний получит возможность эксплуатации ошибок в одном из звеньев сети обслуживания. Статья также является ответом на наиболее часто задаваемые нашими читателями вопросы, присланными нам по электронной почте. В руководстве я объясню, как построить решение на базе физических или виртуальных серверов, одинаково подходящих для раздачи статического и динамического контента, для приложений, требующих наличие БД и кэширования.Читать полностью »
Рубрика «CentOS» - 11
Повышаем безопасность стека web-приложений (виртуализация LAMP)
2012-07-16 в 7:52, admin, рубрики: CentOS, kvm, lamp, nginx, xen, Веб-разработка, Серверная оптимизация, Серверное администрированиеОбновление OpenSSL на CentOS — последствия
2012-07-11 в 15:15, admin, рубрики: CentOS, centos 6, linux, openssh, openssl, ssh, sshd, update, метки: CentOS, centos 6, openssh, openssl, ssh, sshd, update Всем привет!
Не так давно, возникла задача в обновление openssl на CentOS. Информации о репозиториях, откуда можно обновиться до последней стабильной версии, я не нашел и решил сделать все вручную. Но вот одна загвоздка, после успешного обновления я чуть не потерял удаленный доступ к серверу — ssh перестал работать. Данный материал, посвящен тем, кто планирует обновиться в ручную, как я.
Читать полностью »
Вышел CentOS 6.3
2012-07-10 в 6:57, admin, рубрики: CentOS, open source, перевод, метки: CentOS, переводНовая версия CentOS 6.3 стала доступа для обновлений из @updates репозитория. На версию 6.2 обновление установилось без проблем и на данный момент обкатывается на тестовом сервере и на не business-critical живом сервере. Пока полёт нормальный, однако некоторые описанные в пресс-релизе нюансы настораживают. Читать полностью »
Пошаговая установка Sphinx за 10 минут на CentOS 5.2 — 6.2
2012-07-09 в 9:06, admin, рубрики: CentOS, linux, sphinx, метки: CentOS, linux, sphinxЭтот пост — пошаговая инструкция как установить Sphinx на CentOS 5.2 — 6.2 и особенно полезна тем кто сталкивается с ошибками при установке и не знает что они значат и что делать ибо в официальной документации порой не понятно что делать.
В статье используется стандартный путь для сайта который создает ISP manager, если Вы не используете ISP manager или у Вас папка сайта находится по другому пути то пишите Ваш путь. Поехали…
Раз
Через браузер заходим на сайт sphinxsearch.com -> Нажимаем DOWNLOADS -> Нажимаем на последнюю версию (на данный момент 2.0.4-release (Mar 2012)) -> нажимаем Downloads напротив Source tarball (tar.gz) -> заполняем форму и нажимаем Download -> Сохраняем файл у себя на компьютере.
Читать полностью »
Сервер OpenVPN на CentOS
2012-06-25 в 6:48, admin, рубрики: CentOS, linux, openvpn, системное администрирование, метки: CentOS, openvpnУстановка сервера OpenVPN на CentOS и работа с ним мне показалась слишком сложной, поэтому я постарался максимально автоматизировать эти процессы. Сервер настраивается автоматически и начинает работать сразу после установки.
При создании пользователя генерируется конфигурационный файл, либо Windows-клиент для него.
Читать полностью »
Защита gitlab и gitolite от подбора паролей и ключей
2012-06-20 в 7:14, admin, рубрики: CentOS, Git, gitlab, gitolite, iptables, nginx, ssh, информационная безопасность, метки: CentOS, Git, gitlab, gitolite, iptables, nginx, sshСовсем недавно на мой сервер с git репозиторием началась атака по подбору паролей к gitlab и ключей к ssh. Намерения злоумышлеников понятны — вытащить исходный код проприетарного приложения хранящегося в git.
Мне не совсем понятны попытки подбора ssh-ключей, т.к. проблематично подобрать RSA-ключ (это займет десятки лет), но я всё же сделал некоторые ограничения для того что бы не так сильно «загаживались» логи.
Кому интересно как защитить gitolite и gitlab (работает за nginx) от подбора паролей — добро пожаловать под кат.
Читать полностью »
SELinux на практике: DVWA-тест
2012-05-12 в 10:28, admin, рубрики: CentOS, redhat, selinux, Блог компании Positive Technologies, Веб-разработка, информационная безопасность, метки: CentOS, redhat, selinuxПосле публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.
В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?
Прокачиваем PPTP-сервер или чем заменить Poptop
2012-04-28 в 14:07, admin, рубрики: CentOS, ит-инфраструктура, системное администрирование, метки: CentOS
Введение
На сервере доступа в качестве pptp-сервера стоял проверенный Poptop последней стабильной версии (1.3.4). И все бы ничего, да вот только после повышения скоростей на тарифах производительность cервера начала проседать под увеличившейся нагрузкой. Причем очень значительно, так как этот pptp-сервер работает в режиме пользователя, а не ядра. Постоянные копирования пакетов и непосредственно с этим связанные операции переключения контекста, на выполнение которой также расходуются вычислительные ресурсы, вызвали серьезную деградацию производительности сервера при увеличившемся объеме передаваемого трафика. Необходимо было действовать.
Читать полностью »
Введение в SELinux: модификация политики targeted для сторонних веб-приложений
2012-04-19 в 13:15, admin, рубрики: CentOS, django, Fedora, httpd, mod_wsgi, redhat, selinux, Блог компании Positive Technologies, Веб-разработка, информационная безопасность, метки: CentOS, Django, Fedora, httpd, mod_wsgi, redhat, selinux Привет, коллеги!
Многие из нас занимаются настройкой рабочих серверов для веб-проектов. Я не буду рассказывать о том, как настроить Apache или Nginx: вы знаете об этом больше меня. Но один важный аспект создания frontend-серверов остается неосвещенным: это настройки подсистем безопасности. «Отключите SELinux», — вот стандартная рекомендация большинства любительских руководств. Мне кажется, что это поспешное решение, ибо процесс настройки подсистем безопасности в режиме «мягкой» политики чаще всего весьма тривиален.
Сегодня я расскажу вам о некоторых методах настройки подсистемы безопасности SELinux, применяемой в семействе операционных систем Red Hat (CentOS). В качестве примера мы настроим связку для веб-сервера Apache + mod_wsgi + Django + ZEO на CentOS версии 5.8.