Денискин firewall

-

Как бывает и что с этим делать

А бывает вот так:
фаервол здорового человека
фаервол здорового человека

фаервол курильщика
фаервол курильщика

В последнее время стало мне доставаться на поддержку много серверов от, мягко говоря, странных админов. Суть в том, что (ОКАЗЫВАЕТСЯ) многие админы не следят за сетевой безопасностью вверенных им серверов — и вроде в фаерволе даже правила есть, и вроде даже fail2ban настроен на защиту 22го порта, НО... При детальном осмотре, как правило, выясняется две вещи:
  1. Несмотря на наличие правил в фаерволе, цепочка INPUT стоит в ACCEPT;
  2. fail2ban если и установлен, то не настроено никакое действие в нём.
Это жопа, товарищи!

Цепочка INPUT в фаерволе на боевом сервере не должна быть открыта. Ну, только если вы именно так и задумывали (интересно, а зачем вам это?).

Чтобы не вчитываться личшний раз в конфиги, я решил написать скрипт, с помощью которого можно будет узнать какие порты открыты по целевому ip-адресу/доменному имени.

Скрипт может работать как разово, так и в режиме постоянного мониторинга по крону. Логи пишет. Инсталл/деинсталл имеется.


Пользуйтесь, благодарите ;)

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Оживил бубен

-
Изображение
Бубен снова онлайн! Примерно год назад у меня сдох домашний сервачок, на котором, помимо всего прочего, крутился забавный проект  Стункивбубен . Наконец-то у меня дошли до него руки и я его оживил, слегка отрефакторил и чутка поменял внешний вид. Заходите, пользуйтесь! Сделан он был на коленке примерно за час во времена админства в концерне "Тракторные Заводы" как подарок коллегам на День Системного Администратора. Интерактив Тому, кто найдёт одну сознательно заложенную в проект неточность, лично от меня достанется памятный подарок. Какой — узнаете, когда найдёте неточность ;) Условия пристально посмотреть на проект найти ту самую неточность сообщить об этом мне любым способом ( vk , facebook , google+ , почта , telegram ) получить подарок Если нашедших будет больше 5, то будем устраивать розыгрыш. Анонс Напоследок анонсирую — ждите выхода мобильного приложения под Android. Скоро.
Далее...

Итоги интерактива и анонс

-
Пора! Итоги интерактива Пришло время подвести итоги интерактива, который был начат в предыдущем посте . С момента того самого предыдущего поста популярность бубна и количество ударов по нему стремительно увеличились, что лично меня не может не радовать. А вот к интерактиву читатель интерес практически не проявил, что меня слегка расстраивает. НО! Из нескольких, проявивших интерес к интерактиву, всё же нашёлся человек, точно (хоть и не с первого раза) нашедший неточность. Озвучиваю правильный ответ — неточность в том, что на картинке на самом деле не бубен, а джембе . Правильно ответил один человек —  https://vk.com/iktnj867 . Человек получает лично от меня уникальную, брендированную версию мобильного приложения " Стукнивбубен! " под Android. Этой версии не будет в Google Play, там будет обычная, но тоже работающая) Новый анонс Прямо сейчас у меня готовы два мобильных приложения "Стукнивбубен!" — под Android и под iOS. Я их тестирую и скоро буду в
Далее...

Автоматизация и первонах

-
Сказ про NGINX и Dehydrated.  Проблема.  Есть у меня в подчинении NGINX с кучей хостов. Практически на каждом хосте SSL-сертификат. Для получения и обновления сертификатов я использую Dehydrated  — он гораздо удобнее LetsEncrypt'а. Вот с обновлением сертификатов-то как раз и возникла проблема. Начнём с того, что я уже таки умею в автоматизацию рутинных процессов и уже конечно догадался запуск Dehydrated для автообновления сертификатов положить в cron. Более того (!) у Dehydrated есть хуки, с помощью которых можно очень круто отслеживать действия с сертификатами. А вот теперь боль — хук срабатывает на каждый обновлённый сертификат, а у меня в один день было выпущено около 20 сертификатов и, соответственно, обновляются все они в один день. И всё бы было хорошо, но NGINX не умеет подтягивать новые сертификаты через service nginx reload, он их подтягивает только при service nginx restart. В таком разрезе использование хука приводит у меня к перезапуску NGINX аж целых 20 раз.
Далее...