Понеділок, листопада 24, 2014

Останні записи

Опублікував Автор: Створено: в Uncategorized

суть проблеми що іза якогось конфлікту щось неставиться .. 

для прикладу я хочу обновити php

копіюємо резервні якісь настройки  при потребі  

...
Позначки: CentOS repo yum
Переглядів: 5
0

Опублікував Автор: Створено: в Uncategorized

коротко пр ометодику .. 

на сайт хтось зайшов і замінив головний файл index.php на свій 

дивимося на дату створеня файлу (модифікацію) і тепер заходим ов логі і дивимося що в цей час сталося 

...
Переглядів: 16
0

Опублікував Автор: Створено: в Uncategorized
 
14.) I've lost my client authentication certificate, what shall I do?
Make sure that you are using the same computer and browser you used to register. If you are certain that you've lost the client certificate and you can't login anymore, register once again by using a different email address (if the original certificate hasn't expired yet). Contact the CertMaster with your details and we'll try to associate your new client authentication certificate with your original account.
 
 
StartSSL
https://xdev.me/_s/img/wiki/external-link-ltr-icon.png); padding-right: 13px; background-position: 100% 50%; background-repeat: no-repeat no-repeat;">StartSSL is a good company that can give you free SSL certificate for your domain (1 host: www.yourdomain.com). Other types of certificates which have more features are not very expensive.

Personal certificate

1. Sign-up and you will get a personal certificate to access your control panel. (It's installed in your browser)

Never ever loose it - so back it up:

In Opera: "Settings" -> "Preferences" -> "Advanced" -> "Security" -> "Manage Certificates" -> "Personal". Click on "Export" and choose a name for this backup file. Make sure to choose the .p12 for PKCS12 extension, not the default .usr.

Do not let it to expire, it'll screw up your login. Don't say I didn't tell you.

(Go to control panel in www.startssl.com, click Authenticate, click Certificate Wizards, and click renew S/MIME authenticate certificate).

If you failed and it is expired (1 year)



  1. Remove an expired certificate from your browser
  2. Go to https://xdev.me/_s/img/wiki/external-link-ltr-icon.png); padding-right: 13px; background-position: 100% 50%; background-repeat: no-repeat no-repeat;">https://www.startssl.com and sign up for a new account. Use the same email address you used on the expired personal certificate and do not add any domains or anything other than creating and backing up your new certificate.
  3. Send an email to certmaster@startcom.org and inform them that your old personal cert expired and that you created a new one. Provide them with the email address used for the certificate.
  4. Wait for them to respond telling you that the accounts were merged successfully (a few minutes in my case)
  5. Once the accounts are merged, you can log in using your new personal certificate and all your server certs should show on your new account.

 

https://xdev.me/article/StartSSL

Позначки: SSL/TLS
Переглядів: 62
0

Опублікував Автор: Створено: в Uncategorized

Тут я буду залишати замітки про те як адмінити власні DNS сервери, (зокрема власні динамічні днс сервери)

принципі іформації по роботі з  налаштуванням DNS і тестуванням є багато але про специфіку кожного домену пишуть мало

----------- com.ua -------------

...
Позначки: CentOS DDNS domain Dynamic DNS
Переглядів: 21
0

Опублікував Автор: Створено: в Uncategorized
[10.10.2014 15:33:33] *** Monolittour додав live:sales_24853 до цього чату ***
[10.10.2014 15:33:35] *** Monolittour додав selin-trade до цього чату ***
[10.10.2014 15:33:36] *** Monolittour додав foxxyx до цього чату ***
[10.10.2014 15:33:37] *** Monolittour додав seven.collab до цього чату ***
[10.10.2014 15:33:39] *** Monolittour додав shaiss1 до цього чату ***
[10.10.2014 15:33:39] *** Monolittour додав shota-inter до цього чату ***
[10.10.2014 15:33:48] *** Monolittour додав solmixtour до цього чату ***
[10.10.2014 15:33:49] *** Monolittour додав sonata.slav.1 до цього чату ***
Позначки: skype
Переглядів: 45
0

Опублікував Автор: Створено: в Uncategorized

як то кажуть я і сам непідтримую "гавнокод" але деколи "нема часу пояснювати"  

суть така шо мені потрібно дуже швидко зробити компонент на джумлу з мінімалними знаннями всієї ієрархії і роботи джумли, тут завжди допомагає метод научного тику ... в двох словах .. 

я хочу щоб мій компонент відображав якусь php сторінку, получається сторінку зробити непроблема, але як її поєднати з джумлою ... 

...
Позначки: joomla php
Переглядів: 63
0

Опублікував Автор: Створено: в Uncategorized

по суті дуже важлива штука! 

через незрозумілий прилив трафіку мені заблокували домен в адсенсі ...

оскільки я акаунти адсенсу і аналітікс раніше незвязав в купу тому статистики конкретної який трафік був паразитним я немаю ... .тому треба вивчити це питання і знати як це можна робити через гугл аналітікс..

...
Переглядів: 49
0

Опублікував Автор: Створено: в Uncategorized

модуль неофіційний і сторінка розробника тут: http://www.zdziarski.com/blog/?page_id=442

суть модуля захищати апачі від ддос атак 

встановлюємо модуль на центос 6,5 

Позначки: ddos httpd
Переглядів: 48
0

Опублікував Автор: Створено: в Uncategorized

http://farmal.in/2011/07/borba-s-ddos-atakami-sredstvami-iptables-i-sysctl/#comments

Сегодня я попытаюсь привести пример конфигурации файрвола, а также оптимизации системных настроек для повышения устойчивости сервера к так называем атакам типа «отказ в обслуживании». Информации в поисковиках на эту тему море, но, как обычно, это или малограмотные или очень разрознененные и не сведённые в одну схему примеры.

Ниже приводится листинг разрешительной (не такой жёсткой как запретительная) политики настройки iptables, а также пример оптимизации настроек sysctl. В результате будет ограничено количество одновременных подключений с одного ip адреса на порт веб-сервера, сервера DNS, а также ограничено количество подключений к службе ssh (3 подключения за 5 минут с одного ip-адреса). Будет реализована защита от спуфинга на уровне файрвола, а также на уровне ядра.

Хорошее развёрнутое русское руководство по iptables с подробным разъяснением принципов его работы и примерами использования (некоторые из которых используются чуть ниже) можно найти в статье iptables на Википедии (sic!), а про sysctl тут http://debian.telenet.ru/doc/sysctl.conf

# БОРЬБА С DDOS

iptables -N ssh_brute_check # Создаем цепочку для проверки попыток соединений на защищаемый порт
# Если за последние 5 минут (300 секунд) с одного адреса было 3 или более новых соединений — блокируем этот адрес
iptables -A ssh_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 300 --hitcount 3 -j DROP
# В противном случае — разрешаем, и при этом заносим в список
iptables -A ssh_brute_check -m recent --set -j ACCEPT
iptables -F INPUT # Очищаем цепочку INPUT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Разрешаем пакеты по установленным соединениям
# Все попытки открыть новое соединение по SSH направляем на проверку
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check
# Здесь можно разрешать те порты, для которых такая проверка не нужна. Например, HTTP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 80 -j ACCEPT
iptables -P INPUT ACCEPT


# позволяет узнать сколько одновременных подключений на порт с 1 айпи
# netstat -plan | grep :80 | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c
# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# устанавливаем максимальное количество подключений с одного айпи.
# В браузерах эта количество подключений к серверу ограничено 16 соединениями,
# но стоит учитывать тех, кто сидит за NAT, а также что пользователь
# может открыть 2 сайта на разных айпишниках одного и того же сервера.
# Данный параметр подбирается оптимально с помощью предыдущей команды.
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 32 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# то же для DNS
iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 8 -j DROP
iptables -A INPUT -p udp --dport 53 -j ACCEPT

# будет препятствовать спуфингу от нашего имени.
# Ведь если мы получаем пакет с установленными флагами SYN и ACK
# (такой комбинацией флагов обладает только ответ на SYN-пакет) по еще не открытому соединению,
# это означает, что кто-то послал другому хосту SYN-пакет от нашего имени, и ответ пришел к нам.
# Конечно, злоумышленнику предстоит еще угадать номер последовательности.
# Согласно приведенному правилу, наш хост ответит RST-пакетом, после получения которого
# атакуемый хост закроет соединение.
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

# Для защиты от SYN атак включаем SYN-cookies
sysctl -w net.ipv4.tcp_syncookies=1
# Увеличиваем размер очереди полуоткрытых соединений (также полезно при SYN флуде) (default 512)
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
# Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина,
# она сразу ответит. Дефолтовое значение - 2 часа.
sysctl -w net.ipv4.tcp_keepalive_time=60
# Повторить пробу через десять секунд
sysctl -w net.ipv4.tcp_keepalive_intvl=10
# Количество проверок перед закрытием соединения
sysctl -w net.ipv4.tcp_keepalive_probes=5
# Фильтр обратного пути, защита от спуфинга (подмены адресов)
sysctl -w net.ipv4.conf.default.rp_filter=1
# Уменьшение времени удержания «полуоткрытых» соединений
# Сделаем так, чтобы перепередача осуществлялась на 3 секунде
# и полное время хранения полуоткрытых соединений в очереди составило 9 секунд
sysctl -w net.ipv4.tcp_synack_retries=1
# Изменяем время ожидания приема FIN до полного закрытия сокета
sysctl -w net.ipv4.tcp_fin_timeout=10

Переглядів: 48
0

Опублікував Автор: Створено: в Uncategorized
[root@sol-fttb ~]# sysctl net.ipv4.tcp_synack_retries
net.ipv4.tcp_synack_retries = 5
[root@sol-fttb ~]# sysctl -w net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_synack_retries = 3
[root@sol-fttb ~]# sysctl net.ipv4.tcp_synack_retries
net.ipv4.tcp_synack_retries = 3
[root@sol-fttb ~]# sysctl net.ipv4.tcp_max_syn_backlog
net.ipv4.tcp_max_syn_backlog = 2048
[root@sol-fttb ~]# sysctl -w net.ipv4.tcp_max_syn_backlog=65536
net.ipv4.tcp_max_syn_backlog = 65536
[root@sol-fttb ~]# sysctl net.ipv4.tcp_synack_retries
net.ipv4.tcp_synack_retries = 3
[root@sol-fttb ~]# sysctl net.ipv4.tcp_syn_retries
net.ipv4.tcp_syn_retries = 5
[root@sol-fttb ~]# sysctl -w net.ipv4.tcp_syn_retries=3
net.ipv4.tcp_syn_retries = 3
[root@sol-fttb ~]# sysctl net.core.wmem_max
net.core.wmem_max = 124928
[root@sol-fttb ~]# sysctl -w net.core.wmem_max=8388608
net.core.wmem_max = 8388608
[root@sol-fttb ~]# sysctl net.core.rmem_max
net.core.rmem_max = 124928
[root@sol-fttb ~]# sysctl -w net.core.rmem_max=8388608
net.core.rmem_max = 8388608
[root@sol-fttb ~]# sysctl net.core.somaxconn
net.core.somaxconn = 128
[root@sol-fttb ~]# sysctl -w net.core.somaxconn=512
net.core.somaxconn = 512
[root@sol-fttb ~]# sysctl net.core.optmem_max
net.core.optmem_max = 20480
[root@sol-fttb ~]# sysctl -w net.core.optmem_max=81920
net.core.optmem_max = 81920
[root@sol-fttb ~]#
Переглядів: 73
0

Опублікував Автор: Створено: в Uncategorized

http://habrahabr.ru/post/108690/

 

Речь в статье пойдет о роутинге сетевых пакетов в Linux. А конкретно – о типе роутинга под названием policy-routing (роутинг на основании политик). Этот тип роутинга позволяет маршрутизировать пакеты на основании ряда достаточно гибких правил, в отличие от классического механизма маршрутизации destination-routing (роутинг на основании адреса назначения). Policy-routing применяется в случае наличия нескольких сетевых интерфейсов и необходимости отправлять определенные пакеты на определенный интерфейс, причем пакеты определяются не по адресу назначения или не только по адресу назначения. Например, policy-routing может использоваться для: балансировки трафика между несколькими внешними каналами (аплинками), обеспечения доступа к серверу в случае нескольких аплинков, при необходимости отправлять пакеты с разных внутренних адресов через разные внешние интерфейсы, даже для отправки пакетов на разные TCP-порты через разные интерфейсы и т.д.
Для управления сетевыми интерфейсами, маршрутизацией и шейпированием в Linux служит пакет утилит iproute2.

Переглядів: 118
0

Опублікував Автор: Створено: в Uncategorized
Переглядів: 124
0

Опублікував Автор: Створено: в Uncategorized

варіант 1

resolveip -s exemple.com

варіант 2 

...
Переглядів: 139
0

Опублікував Автор: Створено: в Uncategorized

є:

Centos 6.5 

хочу щоб коли запуститься зєднання ppp0 дописувалися нові маршрути для цього зєднання .. тому створюю файлик... і в ньому запихаю свій скриптик .. 

...
Переглядів: 138
0

Опублікував Автор: Створено: в Uncategorized
Переглядів: 121
0

Опублікував Автор: Створено: в Uncategorized
Попробуем в этой статье на одном экране изложить всю суть iptables.
Переглядів: 257
0

Опублікував Автор: Створено: в Uncategorized

/etc/rc.d/rc.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

Переглядів: 112
0

Опублікував Автор: Створено: в Uncategorized

http://www.rjsystems.nl/en/2100-adv-routing.php

Two default routes

Linux has very advanced routing, filtering and traffic shaping options. Here is how to configure a system with two default routes.


1. InstallationTo activate Linux advanced routing on a Debian GNU/Linux system, install the iproute package:

~# apt-get install iproute This will create the /etc/iproute2/ directory. It also installs some new executables, including ip.


2. The ip commandFrom a command line on any Linux system, you can see the existing routing table by simply typing route at the prompt (or /sbin/route if /sbin is not in your path). Your routing table will be similar to this:
Переглядів: 178
0

Опублікував Автор: Створено: в Uncategorized
http://serverfault.com/questions/407681/route-traffic-to-different-interface-from-port
http://www.linuxhorizon.ro/iproute2.html
http://stackoverflow.com/questions/22198313/redirecting-icmp-traffic-through-one-gateway-and-tcp-through-another

http://blog.wiercinski.net/2010/linux/tunnelling-individual-users-traffic-through-remote-server-with-linux-using-gre-nat-and-iptables/
Переглядів: 134
0

Опублікував Автор: Створено: в Uncategorized
http://explainshell.com/
http://explainshell.com/
http://explainshell.com/
http://explainshell.com/
http://explainshell.com/

цікввий сат
Переглядів: 129
0