foboss foboss

Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или подбора по словарю распространенных паролей). Данный способ, в принципе, можно использовать и для защиты других веб-приложений.

Задача может быть реализована в Nginx с помощью модуля ngx_http_limit_req_module [1], выступающем в роли фронт-энда к Apache или веб-сервера FastCGI, или же с помощью HAProxy [2, 3], выступающем в роли балансировщика нагрузки перед веб-серверами.

В обоих случаях алгоритм работы следующий. При аутентификации браузер обращается по адресу, содержащему в себе подстроку "/wp-login.php". Необходимо отследить ее и ограничить количество запросов с одного IP не затрагивая обращения по всем остальным адресам. Параметры блокировки необходимо подобрать таким образом, чтобы не создавать неудобств обычным пользователями. Особенно внимательно следует настраивать блокировки в том случае, когда формой авторизации пользуется большое количество пользователей с одного IP-адреса.

Довольно часто требуется балансировать нагрузку между несколькими веб-серверами. При этом, как правило, необходимо, чтобы веб-приложения получали реальные IP-адреса клиентов, а не IP балансировщика.

В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка “X-Real-IP” и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].

Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2

Внимание к мелочам рождает совершенство,
а вот совершенство уже не мелочь.

Микеланджело Буонарроти


C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [1].
HSTS направлен на закрытие следующих уязвимостей к атакам:

Пользователь помещает в закладки или набирает в адресной строке http://example.com/ и становится жертвой атаки «man-in-the-middle»	HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Веб-приложение, предполагаемое к использованию строго по HTTPS, по небрежности содержит HTTP-ссылки или отдает контент по HTTP	HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Атакующий «man-in-the-middle» пытается перехватить трафик жертвы используя поддельный сертификат в надежде, что пользователь не обратит внимания на сообщение о невалидном сертификате	HSTS не даст пользователю пройти дальше сообщения о проблемах с сертификатом

Включается данная технология проще простого, необходимо возвращать пользователю HTTP-заголовок «Strict-Transport-Security» в тот момент, когда он заходит на сайт по HTTPS:

Strict-Transport-Security: max-age=expireTime [; includeSubdomains]

expireTime
    Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
    Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам.

Введение

Файловая система (ФС) HFS+ на OS X поддерживает квотирование пользователей и групп по ID на уровне томов. Соответствующие файлы .quota.user и .quota.group располагаются в корневом каталоге. В каждом из них содержится заголовок, идущая следом хэш-таблица с определением лимитов, а так же потребляемые значения на ID пользователя или группы.

Каждый — гениален. Но если вы будете судить рыбу по ее способности лазать по деревьям,
она всю жизнь проживет с верой в свою глупость.

Альберт Эйнштейн

Лень — это привычка отдыхать до того, как ты устанешь.

Жюль Ренар

Проблемы с концентрацией внимания? Внешнее воздействие сбивает с толку? Кажется, что все кругом рушится? Не получается запоминать вещи? Выход есть. Чтобы все было нормально, надо только чуть-чуть помочь. Надо принять себя и научиться с этим жить.

Решительно сократить количество проблем можно, придерживаясь следующих рекомендаций:

1. В голове держать не больше трех-пяти вещей за раз, объединив действия в большие смысловые блоки.
2. Раз и навсегда выбрать решение по ежедневному набору мелочей: вносить дела к календарь, проверять утюг и т.п.
3. Разложить все вещи по своим местам и поддерживать заведенный порядок.
4. Дублировать необходимые и часто используемые вещи; разложить их по всем углам.
5. Умело пользоваться календарем, мобильником и другими инструментами интернет-века.
6. И самое главное: НЕ ОТВЛЕКАТЬСЯ ПО МЕЛОЧАМ!

«Из-за недобитого гвоздя потеряли подкову;
потеряли подкову – потеряли коня;
потеряли коня – не доставили донесение;
не доставили донесение – проиграли войну»

Много где пишут про пользователей, не желающих пользоваться «корпоративной» почтовой системой. С упорством, достойным лучшего применения, люди продолжают использовать бесплатные ящики или, как это теперь становится модно, сервисы обмена личными сообщениями в популярных соц. сетях. Показателен пример с сайтом gosuslugi.ru, на котором можно посмотреть, сколько официальных государственных учреждений России используют в своей работе бесплатную почту настолько плотно, что не возникает даже мыслей указывать корпоративный электронный адрес (если он вообще есть). По статистике, опубликованной Иваном Бегтиным по адресу ivbeg.livejournal.com/364050.html, получается целых 22.5%. Что же толкает людей на подобное поведение? Есть ли тому разумное объяснение или же всему виной простая недалекость, отсутствие денег и лень?

Посудите сами, как же это здорово — платить меньше, а получать больше. Фантастика? Вовсе нет. Весь истеричный вой вокруг системы гос. торгов РФ, сайта госзакупок и золотой пилы поднимают либо те, у кого их собственная пилка маловата и к сочному нефтяному или министрескому пирогу никак не получилось присосаться, либо те, кто вообще не способен работать на конкурсной основе. Ребята, 94-ФЗ, — это же настоящее золото! Целый, можно даже сказать, Клондайк. Ведь тендер, это не просто определенный ритуал. Основная ценность в том, что он силой принуждения заставляет шевелиться всех без исключения участников процесса: заказчик по закону обязан ежегодно оценивать рынок в поисках лучшего, а продавцы вправе оспаривать его выбор и предлагать свои варианты. И бухгалтерия не ноет. Точнее ноет, но это уже никого совершенно не волнует.

Взять, к примеру, наш ВУЗ, старейший и крупнейший в регионе. В 2006 году мы, если память не подводит, платили за интернет по 3 рубля за мегабайт со скоростью в районе одного мегабита, а сейчас отдаем 25 000 р. в месяц за 20 полноценных Мбит/с. Здорово, правда? Да не то слово! Получилось бы такое без ежегодных конкурсов на услуги? Не уверен: вряд ли бухгалтерия дала бы постоянно перезаключать договора, найдя тысячу причин, покрывающих собственную лень. Да и провайдеры регулярно пытаются надавить или же изменить условия в свою пользу.… Но тут, как чертик из табакерки, на свет появляется 94-ФЗ и действует кое на кого получше иных таблеток отрезвина или микстуры от жадности.

Часто перед системными администраторами, как впрочем и перед множеством других околоайтишных людей, возникает необходимость в написании статей, кратких руководств и рецептов настройки оборудования и разного рода софта. В огромном числе подобного рода публикаций можно встретить упоминания о ip-адресах и доменных именах; при этом, фантазия авторов не знает границ, встречаются все виды невозможных с точки зрения двоичной арифметики адресов вроде «120.340.560.780/22» и доменов, к примеру «domen.ru», «test.net» и др.

Хочется предостеречь авторов от подобной практики, посколько это вносит сумятицу в документацию, особенно в случае правки статьи, составленной несколькими людьми, а так-же впрямую противоречит рекомендациям комитета IETF, имеющего на этот счет вполне четкие и формализованные рекомендации:

• Согласно RFC 2606 в качестве доменных имен для примеров в документации допустимо использование доменов и поддоменов: .example, example.com, example.net и example.org
• Согласно RFC 5735 в качестве «белых» ip-адресов для примеров в документации допустимо использование ip-диапазонов: 192.0.2.0/24, 198.51.100.0/24 и 203.0.113.0/24

Коллеги, давайте же писать документацию в соответствии с нашими собственными стандартами. Так оно, в итоге-то, лучше получается.

Так можно ли обеспечить 100% защиту компьютера от проделок хакеров и вирусных атак? Отвечаем без тени сомнения: ДА! Мы предлагаем вашему вниманию систему, которая действительно работает. Работает как часы, без неполадок и ограничений. И это не пустые слова. Это реальность, лишенная досадных компьютерных сбоев и зависаний ОС.

Наверняка всем знаком бич отечественного интернета — семейство win-локеров с SMS оплатой. Поражает даже не размах эпидемии и безнаказанность организаторов, в голове не укладывается цинизм подобных деятелей. Вы никогда не пробовали читать пользовательское соглашение, которое мелким шрифтом подсовывают пользователю перед установкой трояна?

Не удержусь и приведу один из таких шедевров целиком. Неужели подобные «писульки» имеют хоть какую-то юридическую силу?

В обилии спама и беспощадного DDoS, захлестнувшего интернет, частенько любят винить пользователей зараженных вирусами ПК, через которые собственно и идет поток вредоносного траффика. Это в корне неверная позиция. Виноваты все: производители пк, провайдеры интернет, антивирусные компании… вся IT-братия, кроме end user'а. Совершенно логичной для пользователя (и при этом абсолютно дикой для компьютерщика) является позиция: мне не мешает и ладно, антиврус покупать запало; или к примеру: у меня на 2х Гб памяти теперь вирусы не тормозят etc. И правильно. так и должно быть. Потому что вирусов не должно быть. Это недоразумение, в котором виноваты производители ПК и в особенности корпорация Microsoft. Потому что в грамотных, хорошо спроектированных, поддерживаемых и обновляемых ОС, вирусов <=n, где n это общее число найденных уязвимостей (*NIX, да-да). Сколько известно вирусов под Linux, AIX, HP-UX, Mac OS? Что, малораспространенные? А под Cisco IOS, воткнутую в несметное число интеллектуального сетевого железа? Было б смешно, если б не так грустно.

Демократия есть искусство управления цирком изнутри обезьяньей клетки.
Генри Луис Менкен

В крупных, постоянно меняющихся и развивающихся гетерогенных сетях установка адреса локального ntp-сервера на всех машинах может представлять определенную проблему. В данном случае можно воспользоваться возможностями DNS-сервера BIND и подменить выдаваемый по запросу «time.windows.com» ip-адрес.

Каждому системному администратору знакома ситуация, когда вдруг неожиданно пропадает свет. Надолго. Ночью/в выходной/праздник/и т.д. Каждый раз включать сервер руками под бодрые крики руководства и звонки раскаленных телефонов — процедурочка та еще, не из приятных. Поэтому обычно на небольшом предприятии администратор старается сделать так, чтобы «оно работало» в как можно более автономном режиме и требовало вмешательства человека только в самом крайнем случае.

В системном администрировании существует как минимум два противоположных подхода, я называю их «Из говна и палок» ( di_halt) он же подход «левши» и «пижонский». Каждый их них судя по обилию холиваров в интернете имеет достаточно приверженцев. Каждый администратор выбирает для себя один из подходов исходя из внутренних убеждений и реалий бытия. Чаще всего ему приходится идти на различного рода компромиссы как со своей совестью, так и с бюджетом на IT.

Конечно есть еще и третий подход — «раздолбайский», но про него говорить как-то не очень хочется. Если администратор хочет навести порядок — наведет. Если не хочет, то большие деньги и современное оборудование не помогут. Уж очень много на нынешней работе примеров такого подхода.

Главная задача пользователя сидеть в одноклассниках эффективно выполнять свою работу. Главная задача администратора — этому всячески помогать. Делать это можно по-всякому (в том числе, к примеру, блокировкой вышеупомянутого ресурса), однако большим подспорьем в работе являлась, является и будет являться обратная связь. Пренебрегать ею ни в коем случае не стоит.

В небольших конторах все просто — до админа рукой подать. Все проблемы, заморочки, мелкие недочеты всплывают практически сразу же. В больших и территориально распределенных сетях обратная связь начинает представлять некоторую проблему. Нет, ну конечно всегда есть возможность позвонить по телефону или написать письмо, но. Не каждый человек во-первых знает куда, кому и что сообщать и во-вторых не всегда вообще есть такое желание, общаться на непонятные темы с неизвестным человеком «где-то там». К тому же, если вдруг большинство пользователей с компьютером на «Вы», то имеются все шансы даже в случае телефонного звонка получить вместо описания проблемы лишь невнятное бормотание.