כל מי שעוסק באופן מקצועי באירוח אתרים מכיר את האיום הנשקף על ידי משתמשים נגועים בתוכנות זדוניות, פגזי רשת וכו '. במקרה הכללי משתמשים בו maldet תסריט לא רע. זה נבדל על ידי 3 דברים

  1. זה איטי להחריד
  2. זה איטי להפליא ואם תכניסו אותו למצב ניטור הוא יגע בשרת שלכם
  3. תומך בבסיס נתונים משלו עם הגדרות md5 / hex לקוד רע.

זו התכונה האחרונה שלה שהופכת אותה לשימושית, מכיוון שבין היתר תוכלו להגיש קבצים שלא התגלו עד כה ויכנסו למאגרי המידע בשלב מאוחר יותר.. כפי שחלקתי בפירוט 1 ו 2 המהירות שלה נמוכה באופן מזעזע – בעומס מכונה נמוך, סרקו 70K קבצים תוך כשעה וחצי. מסיבה זו התחלתי לעזור לחברתי הטובה ShadowX מאלמו – אלטרנטיבה למלדיט שנכתבה בפיתון עם קצת יותר גמישות. לרוע המזל מחוסר זמן (בעיקר אך לא רק) לא השלמנו את הפרויקט, וזה לא ממש שמיש כרגע – יש הרבה באגים שצריך לסלק אותם. בימים האחרונים היו לי בעיות עם לקוחות שנדבקו ב- CryptoPHP שהיו להם קבצי public_html ענקיים ~ 60k + משתמשים.. מכיוון שהיה צריך לסרוק יותר מ- 200,000 קבצים, מה שייקח בערך 5+ שעות החלטתי לכוונן את התצורה של maldet, כדי לצמצם את הקבצים שייסרקו למספר וזמן סביר. כשאני מרימה את החומר, הבחנתי בשורות הבאות

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

מעניין… כנראה שיש הזדמנות להשתמש ClamAV – שגם זה לא שונה במהירות הגבוהה שלו אבל למה לא לנסות את זה. התקנתי אותו במהירות

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

אני מריץ את המלדיט על תיקיה קטנה – אני לא רואה הבדל במהירות ובהתנהגות – הוא השתמש בסורק הפרל שלו במקום הקלאמאב. לאחר חפירה קצרה במקור המלדיט מצאתי את השורות הבאות

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

המממ, הכנתי אחת המסוקק ולהפתעתי הרבה גיליתי שקלאמב בכלל לא נמצא ב- PATH, אבל קפנל המטופש השאיר אותו רק ב / usr / local / cpanel / 3rd party / bin / משם הוא משתמש בבינריות שלו.. מהיר פתר את הבעיה:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

בעת סריקה מחודשת, Maldet כבר מדווח על האמור לעיל

{scan} found ClamAV clamscan binary, using as scanner engine...

לאחר שכבר השתמש ב- Maldet ClamAV, הוא מסיים את הסריקה שלו 3-4-5 פעמים מהר מבעבר. הבדיקה הראתה – 70k inod - a שפשף אותם בערך 25 דקות שזה בערך 3 פעמים וחצי מהר מבעבר.

Преди да почна с поредният random hate към 50 с’тинки OS искам да кажа, че ежедневно ми се налага да я администрирам и я познавам от първо лице единствено число доста добре. היום הקדשתי את הזמן לבחון את התכונה החדשה והקסומה והבלתי נתפסת הקסומה לשדרוג הרסני (מדומה) 😀 . הדבר הראשון שהדהים אותי היה, כי RedHat בחוכמתה האינסופית החליטה להפסיק לתמוך בארכיטקטורת x86 🙄 . Напълно съм наясно че сме 2014-та година и сървърни процесори с 32 הוראות סיביות חסרות זמן רב. Мда ама какво правят потребителите на малки VPS-и – מסגרת x64 יותר מסגרת, както и да го погледнеш ако имаш тънка виртуална машинка с 512МБ-1ГБ рам ще се бориш за всеки мегабай от нея и няма да прахосаш 20-30% от нея просто за да използваш по големият сет от инструкции. Препсувах тъй като си бях инсталил х86 CentOS и дръпнах един х64. Веднага видях разлика в ISO-тата~100MB при minimal 6.5. Препсувах още един път. Инсталирах си отново виртуалката като реших да видим RedHat колко добре са си свършили работатаизнесох /var и /usr на отделни LVM дялове 😈 . След инсталацията обнових всички пакети инсталирах си и apache, php, mysql и bindбеше интересно дали ще запалят сървисите. Отворих си като добра ученичка ръководството на CentOS за ъпдейта и започнах прилежно да го следва стъпка по стъпка. כשהגעתי למצב שהשדרוג האמיתי התחיל, הקוגר הזה ניתק אותי, че имам критичен проблем 🙄 . אני בודק את התפוקה המפורטת – mdaaaa / usr לא יכול להיות במחיצה נפרדת 😆 ידעתי, שלא אתאכזב מג'ים ווייטהרסט והחברה. מלבד “הקיצוני” הבעיה היו הרבה הודעות על חבילות לא חתומות, קבצים שהוחרמו שאינם תואמים וכן הלאה. WTF אפילו לא השתמשתי במאגרים השלישיים כל דבר מהמראות שהורדתי לא ביצעתי שום הגדרות פשוט התקנת יאם פשוט. הכל כבר היה ברור, ולכן אילצתי את השדרוג באופן לא מוסרי. התחלתי שוב בשקדנות כי התסריט נתן אותי לבסוף והכל נגמר בגלל המחיצה / usr. הייתי עצלן מדי, שאני מנסה לתקן את זה, בכל מקרה, הכל היה רק ​​למטרות מדעיות, אין שום דרך לשדרג שרת מוצר כרגע. תפסתי התקנה מחדש של הווירטואלי שלי והפעם דחפתי הכל פנימה 1 כותרת. למדתי גם שיעור, אין עדכונים אין שירותים נוספים, לאחר התקנת שדרוג ישיר. בשלב האחרון, שוב הופיע הדיאלוג המעצבן שהוא אמר לי, שיש לי בעיות די גבוהות – חבילות לא חוקיות, החרמות וכן הלאה, אך יכולות להמשיך. ידעתי שהם לא עשו דברים בהתחלה. התחלתי שוב וחיכיתי – הו איזה נס השדרוג הסתיים בהצלחה. והכל עבד או לפחות אתחול המערכת ולעולם לא ניסיתי להתקין חבילות נוספות, אבל פקודת העצירה הייתה תלויה – אה עדיין היה צריך לאג 💡 . אחרי כל המהומה הזו החלטתי להתקין את Centos clean 7 בואו נראה אם ​​היא תיהום למחיצת / אתחול ב- LVM – 6.5 אינו מאפשר חוצפה כזו. התחלתי את ה- ISO שלי והייתי בהלם מהמתקין בלשון המעטה – הכל היה מאוד לא נוח “מסודר”, לגמרי לא הגיוני כדי להיות יפה. אחרי מאבק כלשהו הצלחתי עם המטרה היקרה ואהה להתקין ולהתפוצץ, שאני צריך להוציא את / האתחול שלי מ- LVM 👿 זה מאוד לא רציני ומעצבן, אם מסיבה כלשהי אתה שוכח להגדיל את גודל מחיצת האתחול מ- 200MB ולצבור גרעינים ישנים מה שקורה.

באופן כללי לא ציפיתי לשום דבר ואני עדיין מאוכזב מ- CentOS.

Колкото и да псувам RHEL и CentOS shit-а има някой неща които са им измислени доста грамотно. Например добавянето на голям брой допълнителни IP-та е доста приятна задачка. По принцип ако трябва да добавя голям брой адреси бих си разписал едно bash скриптче в което в цикъл да извършва въпросната операция че на ръка не си е работа. При Centos/RHEL хората са го измислили доста приятно range файл. В общи линии създаваме файл /etc/sysconfig/network-scripts/ifcfg-eth0-range0. כאן אנו מחליפים את eth0 במתאם רשת השם אם הוא לא eth0. לאחר מכן נוסיף את התוכן הבא

IPADDR_START=192.168.0.129
IPADDR_END=192.168.0.254
NETMASK=255.255.255.128
CLONENUM_START=0

כוויכוחים

  • IPADDR_START – כתובת IP ביתית
  • IPADDR_END – כתובת סופית
  • NETMASK – מסיכת רשת
  • CLONENUM_START – מספור ממנו להתחיל את מתאם הרשת eth0:0 במקרה שלנו

 

הסנטוס קצת מעניין בסט מתאמי הגשרים. אני מניח שחבילת כלי הגשר ו- eth0 כבר מותקנים (זה בדוגמה שלי) מוגדר, אז בואו נסתכל על השלבים הבסיסיים

  1. העתק את הגדרות eth0 ל- br0 (כאן כבר אם אתה זקוק לשמות אחרים של המתאמים שלך אתה יכול לתקן את זה)
  2. אתה רושם את הערכים עבור eth0 בקובץ התצורה של br0
  3. החלף את סוג מתאם ה- Ethernet ב- Bridge
  4. אתה מסיר את כתובת MAC מתצורת br0
  5. אתה מציין בתצורת eth0 שיהיה לנו מתאם גשר br0

כדי לחסוך זמן, ציירתי אותו כתסריט בסיסי

cd /etc/sysconfig/network-scripts/
cp ifcfg-eth0 ifcfg-br0
sed -i 's/eth0/br0/' ifcfg-br0
sed -i 's/Ethernet/Bridge/' ifcfg-br0
sed -i '/HWADDR/d' ifcfg-br0
echo 'BRIDGE="br0"' >> ifcfg-eth0

הבוקר התחלתי לבצע את השדרוג הסטנדרטי הסטנדרטי בשרת דביאן ודובקוט נפטר עם השגיאה הבאה 🙂

[….] הפעלת שרת דואר IMAP / POP3: dovecotError: שקע() נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שירות(pop3-login): להקשיב(::, 110) נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שקע() נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שירות(pop3-login): להקשיב(::, 995) נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שקע() נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שירות(imap-login): להקשיב(::, 143) נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שקע() נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
שגיאה: שירות(imap-login): להקשיב(::, 993) נכשל: משפחת כתובת אינה נתמכת על ידי פרוטוקול
קטלנית: הפעלת המאזינים נכשלה
נכשל!

 

Ако се загледате внимателно в нея грешката вади очите на човек להקשיב(::, 993) נכשל כנראה מנסה להקשיב לכתובת ipv6 שאסרתי עליה 😈 . הפיתרון ברור כמו הטעות עצמה – עלינו לגרום ל- dovecot לעבוד רק ב- ipv4, אשר מושגת לפי הסדר הבא ב- /וכו '/ dovecot / dovecot.conf
האזנה = 0.0.0.0
ואז היכה בהפעלה מחדש מהירה של Dovecot והכל בסדר ואנחנו יכולים להמשיך עם שדרוג ההפצה