• Ограничение количества попыток ввода пароля в веб-форме авторизации при помощи Nginx или HAProxy на примере WordPress

      Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или подбора по словарю распространенных паролей). Данный способ, в принципе, можно использовать и для защиты других веб-приложений.

      Задача может быть реализована в Nginx с помощью модуля ngx_http_limit_req_module [1], выступающем в роли фронт-энда к Apache или веб-сервера FastCGI, или же с помощью HAProxy [2, 3], выступающем в роли балансировщика нагрузки перед веб-серверами.

      В обоих случаях алгоритм работы следующий. При аутентификации браузер обращается по адресу, содержащему в себе подстроку "/wp-login.php". Необходимо отследить ее и ограничить количество запросов с одного IP не затрагивая обращения по всем остальным адресам. Параметры блокировки необходимо подобрать таким образом, чтобы не создавать неудобств обычным пользователями. Особенно внимательно следует настраивать блокировки в том случае, когда формой авторизации пользуется большое количество пользователей с одного IP-адреса.
      Читать дальше →
    • Получаем IP-адреса HTTPS-клиентов с HAProxy (frontend) на Nginx (backend) в режимах HTTP и TCP-балансировки

        Довольно часто требуется балансировать нагрузку между несколькими веб-серверами. При этом, как правило, необходимо, чтобы веб-приложения получали реальные IP-адреса клиентов, а не IP балансировщика.

        В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка “X-Real-IP” и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].

        Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2

        Читать дальше →
      • «HTTP Strict-Transport-Security» или как обезопасить себя от атак «man-in-the-middle» и заставить браузер всегда использовать HTTPS

          Внимание к мелочам рождает совершенство,
          а вот совершенство уже не мелочь.


          Микеланджело Буонарроти


          C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [1].
          HSTS направлен на закрытие следующих уязвимостей к атакам:
          Пользователь помещает в закладки или набирает в адресной строке http://example.com/ и становится жертвой атаки «man-in-the-middle» HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
          Веб-приложение, предполагаемое к использованию строго по HTTPS, по небрежности содержит HTTP-ссылки или отдает контент по HTTP HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
          Атакующий «man-in-the-middle» пытается перехватить трафик жертвы используя поддельный сертификат в надежде, что пользователь не обратит внимания на сообщение о невалидном сертификате HSTS не даст пользователю пройти дальше сообщения о проблемах с сертификатом
          Включается данная технология проще простого, необходимо возвращать пользователю HTTP-заголовок «Strict-Transport-Security» в тот момент, когда он заходит на сайт по HTTPS:
          Strict-Transport-Security: max-age=expireTime [; includeSubdomains]

          expireTime
              Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
              Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам.
          Читать дальше →
        • OS X: настраиваем дисковые квоты локальным пользователям

            Введение

            Файловая система (ФС) HFS+ на OS X поддерживает квотирование пользователей и групп по ID на уровне томов. Соответствующие файлы .quota.user и .quota.group располагаются в корневом каталоге. В каждом из них содержится заголовок, идущая следом хэш-таблица с определением лимитов, а так же потребляемые значения на ID пользователя или группы.
            Читать дальше →
          • Работа и жизнь гика с проблемами концентрации внимания

              Каждый — гениален. Но если вы будете судить рыбу по ее способности лазать по деревьям,
              она всю жизнь проживет с верой в свою глупость.

              Альберт Эйнштейн

              Лень — это привычка отдыхать до того, как ты устанешь.

              Жюль Ренар


              Проблемы с концентрацией внимания? Внешнее воздействие сбивает с толку? Кажется, что все кругом рушится? Не получается запоминать вещи? Выход есть. Чтобы все было нормально, надо только чуть-чуть помочь. Надо принять себя и научиться с этим жить.

              Решительно сократить количество проблем можно, придерживаясь следующих рекомендаций:
              1. В голове держать не больше трех-пяти вещей за раз, объединив действия в большие смысловые блоки.
              2. Раз и навсегда выбрать решение по ежедневному набору мелочей: вносить дела к календарь, проверять утюг и т.п.
              3. Разложить все вещи по своим местам и поддерживать заведенный порядок.
              4. Дублировать необходимые и часто используемые вещи; разложить их по всем углам.
              5. Умело пользоваться календарем, мобильником и другими инструментами интернет-века.
              6. И самое главное: НЕ ОТВЛЕКАТЬСЯ ПО МЕЛОЧАМ!
              Интересно? Читаем дальше!
            • Электропочта, SaaS и «Облака»

                «Из-за недобитого гвоздя потеряли подкову;
                потеряли подкову – потеряли коня;
                потеряли коня – не доставили донесение;
                не доставили донесение – проиграли войну»


                Много где пишут про пользователей, не желающих пользоваться «корпоративной» почтовой системой. С упорством, достойным лучшего применения, люди продолжают использовать бесплатные ящики или, как это теперь становится модно, сервисы обмена личными сообщениями в популярных соц. сетях. Показателен пример с сайтом gosuslugi.ru, на котором можно посмотреть, сколько официальных государственных учреждений России используют в своей работе бесплатную почту настолько плотно, что не возникает даже мыслей указывать корпоративный электронный адрес (если он вообще есть). По статистике, опубликованной Иваном Бегтиным по адресу ivbeg.livejournal.com/364050.html, получается целых 22.5%. Что же толкает людей на подобное поведение? Есть ли тому разумное объяснение или же всему виной простая недалекость, отсутствие денег и лень?
                Читать дальше →
              • А еще я люблю тендеры!

                  Посудите сами, как же это здорово — платить меньше, а получать больше. Фантастика? Вовсе нет. Весь истеричный вой вокруг системы гос. торгов РФ, сайта госзакупок и золотой пилы поднимают либо те, у кого их собственная пилка маловата и к сочному нефтяному или министрескому пирогу никак не получилось присосаться, либо те, кто вообще не способен работать на конкурсной основе. Ребята, 94-ФЗ, — это же настоящее золото! Целый, можно даже сказать, Клондайк. Ведь тендер, это не просто определенный ритуал. Основная ценность в том, что он силой принуждения заставляет шевелиться всех без исключения участников процесса: заказчик по закону обязан ежегодно оценивать рынок в поисках лучшего, а продавцы вправе оспаривать его выбор и предлагать свои варианты. И бухгалтерия не ноет. Точнее ноет, но это уже никого совершенно не волнует.

                  Взять, к примеру, наш ВУЗ, старейший и крупнейший в регионе. В 2006 году мы, если память не подводит, платили за интернет по 3 рубля за мегабайт со скоростью в районе одного мегабита, а сейчас отдаем 25 000 р. в месяц за 20 полноценных Мбит/с. Здорово, правда? Да не то слово! Получилось бы такое без ежегодных конкурсов на услуги? Не уверен: вряд ли бухгалтерия дала бы постоянно перезаключать договора, найдя тысячу причин, покрывающих собственную лень. Да и провайдеры регулярно пытаются надавить или же изменить условия в свою пользу.… Но тут, как чертик из табакерки, на свет появляется 94-ФЗ и действует кое на кого получше иных таблеток отрезвина или микстуры от жадности.
                  Читать дальше →
                • Документация: домены и ip-адреса

                    Часто перед системными администраторами, как впрочем и перед множеством других околоайтишных людей, возникает необходимость в написании статей, кратких руководств и рецептов настройки оборудования и разного рода софта. В огромном числе подобного рода публикаций можно встретить упоминания о ip-адресах и доменных именах; при этом, фантазия авторов не знает границ, встречаются все виды невозможных с точки зрения двоичной арифметики адресов вроде «120.340.560.780/22» и доменов, к примеру «domen.ru», «test.net» и др.

                    Хочется предостеречь авторов от подобной практики, посколько это вносит сумятицу в документацию, особенно в случае правки статьи, составленной несколькими людьми, а так-же впрямую противоречит рекомендациям комитета IETF, имеющего на этот счет вполне четкие и формализованные рекомендации:
                    • Согласно RFC 2606 в качестве доменных имен для примеров в документации допустимо использование доменов и поддоменов: .example, example.com, example.net и example.org
                    • Согласно RFC 5735 в качестве «белых» ip-адресов для примеров в документации допустимо использование ip-диапазонов: 192.0.2.0/24, 198.51.100.0/24 и 203.0.113.0/24
                    Коллеги, давайте же писать документацию в соответствии с нашими собственными стандартами. Так оно, в итоге-то, лучше получается.
                  • Запредельная наглость SMS-мошенников

                      Так можно ли обеспечить 100% защиту компьютера от проделок хакеров и вирусных атак? Отвечаем без тени сомнения: ДА! Мы предлагаем вашему вниманию систему, которая действительно работает. Работает как часы, без неполадок и ограничений. И это не пустые слова. Это реальность, лишенная досадных компьютерных сбоев и зависаний ОС.

                      Наверняка всем знаком бич отечественного интернета — семейство win-локеров с SMS оплатой. Поражает даже не размах эпидемии и безнаказанность организаторов, в голове не укладывается цинизм подобных деятелей. Вы никогда не пробовали читать пользовательское соглашение, которое мелким шрифтом подсовывают пользователю перед установкой трояна?

                      Не удержусь и приведу один из таких шедевров целиком. Неужели подобные «писульки» имеют хоть какую-то юридическую силу?
                      Читать дальше →
                    • Антивирусы, провайдеры, спам и все-все-все

                        В обилии спама и беспощадного DDoS, захлестнувшего интернет, частенько любят винить пользователей зараженных вирусами ПК, через которые собственно и идет поток вредоносного траффика. Это в корне неверная позиция. Виноваты все: производители пк, провайдеры интернет, антивирусные компании… вся IT-братия, кроме end user'а. Совершенно логичной для пользователя (и при этом абсолютно дикой для компьютерщика) является позиция: мне не мешает и ладно, антиврус покупать запало; или к примеру: у меня на 2х Гб памяти теперь вирусы не тормозят etc. И правильно. так и должно быть. Потому что вирусов не должно быть. Это недоразумение, в котором виноваты производители ПК и в особенности корпорация Microsoft. Потому что в грамотных, хорошо спроектированных, поддерживаемых и обновляемых ОС, вирусов <=n, где n это общее число найденных уязвимостей (*NIX, да-да). Сколько известно вирусов под Linux, AIX, HP-UX, Mac OS? Что, малораспространенные? А под Cisco IOS, воткнутую в несметное число интеллектуального сетевого железа? Было б смешно, если б не так грустно.
                        Читать дальше →
                      • Подмена time.windows.com локальным ntp-сервером

                          Демократия есть искусство управления цирком изнутри обезьяньей клетки.
                          Генри Луис Менкен


                          В крупных, постоянно меняющихся и развивающихся гетерогенных сетях установка адреса локального ntp-сервера на всех машинах может представлять определенную проблему. В данном случае можно воспользоваться возможностями DNS-сервера BIND и подменить выдаваемый по запросу «time.windows.com» ip-адрес.
                          Читать дальше →
                        • Автоматический перезапуск сервера pSeries после сбоя питания

                            Каждому системному администратору знакома ситуация, когда вдруг неожиданно пропадает свет. Надолго. Ночью/в выходной/праздник/и т.д. Каждый раз включать сервер руками под бодрые крики руководства и звонки раскаленных телефонов — процедурочка та еще, не из приятных. Поэтому обычно на небольшом предприятии администратор старается сделать так, чтобы «оно работало» в как можно более автономном режиме и требовало вмешательства человека только в самом крайнем случае.

                            Читать дальше →
                          • Администрирование без галстука.

                              В системном администрировании существует как минимум два противоположных подхода, я называю их «Из говна и палок» ( di_halt) он же подход «левши» и «пижонский». Каждый их них судя по обилию холиваров в интернете имеет достаточно приверженцев. Каждый администратор выбирает для себя один из подходов исходя из внутренних убеждений и реалий бытия. Чаще всего ему приходится идти на различного рода компромиссы как со своей совестью, так и с бюджетом на IT.

                              Конечно есть еще и третий подход — «раздолбайский», но про него говорить как-то не очень хочется. Если администратор хочет навести порядок — наведет. Если не хочет, то большие деньги и современное оборудование не помогут. Уж очень много на нынешней работе примеров такого подхода.
                              Читать дальше →
                            • Обратная связь с пользователями — великая вещь!

                                Главная задача пользователя сидеть в одноклассниках эффективно выполнять свою работу. Главная задача администратора — этому всячески помогать. Делать это можно по-всякому (в том числе, к примеру, блокировкой вышеупомянутого ресурса), однако большим подспорьем в работе являлась, является и будет являться обратная связь. Пренебрегать ею ни в коем случае не стоит.

                                В небольших конторах все просто — до админа рукой подать. Все проблемы, заморочки, мелкие недочеты всплывают практически сразу же. В больших и территориально распределенных сетях обратная связь начинает представлять некоторую проблему. Нет, ну конечно всегда есть возможность позвонить по телефону или написать письмо, но. Не каждый человек во-первых знает куда, кому и что сообщать и во-вторых не всегда вообще есть такое желание, общаться на непонятные темы с неизвестным человеком «где-то там». К тому же, если вдруг большинство пользователей с компьютером на «Вы», то имеются все шансы даже в случае телефонного звонка получить вместо описания проблемы лишь невнятное бормотание.
                                Читать дальше →