Архив рубрики: Безопасность

Традиционная слезная просьба — настройте бэкапы

Уважаемые пользователи, традиционно, раз в год мы просим вас настроить резервное копирование ваших ресурсов. Сегодня опять произошел неприятный инцидент. Разбираем таймлайн:

  • 6 февраля у клиента закончились средства;
  • клиент попытался внести оплату картой и не смог завершить платеж;
  • 21 февраля VPS остановился из-за неуплаты — клиент не обратил внимание;
  • 6 марта услуга удалилась;
  • 31 марта клиент обратился с заявкой о неработоспособности сайта.

Резервные копии не выполнялись. Данные утрачены безвозвратно. Не помог ни 30-дневный период удаления услуги, ни возможности уведомлений по SMS, ничего.

Если вам дорога Ваша интеллектуальная собственность, если Вам дорог Ваш бизнес, пожалуйста настройте резервное копирование или обратитесь к нам за помощью.

Настройка безопасности стека ELK с помощью Nginx

Стек ELK (стек Elastic) — это набор открытых программ, разработанных Elastic, которые позволяют выполнять поиск, анализ и визуализацию записей журналов.

Стек ELK состоит из четырех основных компонентов:

  • Elasticsearch. Распределенная поисковая система, доступная по RESTful протоколу, которая хранит все собранные данные.
  • Logstash. Компонент, осуществляющий предобработку, дополнение, фильтрацию и маршрутизацию загружаемых в Elasticsearch данных.
  • Kibana. Аналитическая и визуализационная система с web-интерфейсом, позволяющая выполнять комплексные запросы к Elasticsearch и отображать их результаты в виде таблиц и диаграмм.
  • Beats. Семейство легких специализированных отправителей данных, тесно интегрированных с Logstash и Elasticsearch.

Если вы следите за новостями об Elasticsearch, то могли слышать о ряде случаев раскрытия конфиденциальных данных, хранящихся в кластерах Elasticsearch. Вот только некоторые ссылки на статьи: Equifax, CITI, AIESEC.

Поскольку Elasticsearch и Kibana поставляются без встроенного механизма аутентификации, данные могут легко подвергнуться атаке, если не предпринять простые меры по их защите.

В этой статье мы рассмотрим, как реализовать один из наиболее распространенных и простых методов защиты стека ELK — установку Nginx в качестве обратного прокси-сервера перед Elasticsearch и Kibana.

Читать далее

Шифрование и расшифровка файлов с помощью асимметричного шифрования ключами GPG

Данная статья поможет вам научиться зашифровывать и расшифровывать файлы с помощью GPG. Инструкции, приведенные в этой статье, подходят для любой операционной системы с установленным программным обеспечением GPG.

Шифрование — важный и абсолютно необходимый способ защиты конфиденциальной информации. Личные файлы, представляющую угрозу при случайном распространении, должны быть зашифрованы, и GPG является идеальным решением.

GPG (также известный как GnuPG) является свободной реализацией стандарта OpenPGP и используется для шифрования информации с помощью различных алгоритмов (RSA, DSA, AES и других).

Читать далее

Защита сетевого трафика кластера MySQL Galera с помощью шифрования SSL

В том случае, если вы эксплуатируете кластер Galera с узлами, работающими в разных центрах обработки данных, соединение между которыми устанавливается по незащищенному каналу, вам необходимо обеспечить защиту данных, передаваемых между клиентами и кластером и между узлами кластера.

Кластер Galera поддерживает шифрование соединения с использованием протокола SSL. В статье мы рассмотрим, как зашифровать все соединения кластера с помощью SSL-шифрования.

Читать далее

Установка драйверов VirtIO в Microsoft Windows

В данной статье мы проиллюстрируем пошаговую установку драйверов VirtIO на примере операционной системы Microsoft Windows Server.

Для начала авторизуйтесь в панели управления Cloud2 для присоединения ISO-образа диска с драйверами VirtIO к существующей виртуальной машине:

1. Авторизуемся в панели управления по адресу: https://ru.cloud-2.io/ui/premium/

Авторизуемся с собственным логином и паролем

2. Выбираем нужную виртуальную машину кликая по её названию (1). В открывшейся панели управления переходим во вкладку устройств (2) и нажимаем стилизованную под плюс кнопку подключения ISO-образа (3):

Подключаем ISO-образ в меню устройств виртуальной машины

3. В открывшемся окне прикрепления ISO-образа указываем тип операционной системы Windows (1), отмечаем образ диска с драйверами VirtIO (2) и подключаем его к нашей машине (3):

Выбираем ISO-образ из библиотеки

4. Переходим в операционную систему. Для этого подключаемся к машине по RDP или используем встроенную консоль панели управления. Для этого кликаем по стилизованной под три точки кнопке меню виртуальной машины (1) и выбираем пункт «Доступ к ВМ» (2):

Открываем пункт Доступ к ВМ

В открывшемся окне нажимаем ссылку «Открыть VNC консоль» (1):

Запускаем консоль

5. В операционной системе с помощью проводника Windows проверяем наличие присоединённого нужного образа с драйверами:

Наличие ISO-образа в виртуальном приводе

В контекстном меню (правая кнопка мыши) кнопки «Пуск» выбираем пункт «Управление компьютером»:

Запускаем Управление компьютером

6. В открывшейся панели переходим в Диспетчер устройств (1), где наблюдаем ряд неизвестных нашей системе девайсов (2), которые нам предстоит инициализировать:

Переходим в диспетчер устройств

7. Поочерёдно устанавливаем драйвера на каждое устройство с подключенного диска. Устанавливаем драйвер устройства Virtio RNG Device:

Контекстное меню на неизвестном устройстве -> Обновить драйвер
Выбираем поиск драйвера на текущем компьютере
Указываем диск подключенного образа с драйверами, в нашем примере это диск D, отмечаем галочкой поиск по вложенным папкам
Соглашаемся доверять ПО от Red Hat 😉 — устанавливаем драйвер
Получаем искомый результат
Новое устройство появляется в списке

Аналогично устанавливаем последующие драйвера устройств VirtIO Serial Driver и Red Hat VirtIO Ethernet Adapter:

Запускам процедуру обновления драйвера устройства
Сообщение об успешно установленном драйвере
То же самое проделываем с сетевым устройством

В результате проделанных манипуляций мы получаем полностью установленные VirtIO устройства в нашей системе. Не забудьте отключить ISO в самой системе или в панели управления виртуальной машиной по окончании работ.

Улучшение безопасности: новый генератор случайных чисел для VM Cloud2

Уважаемый пользователь, мы произвели улучшение, связанное с генерацией случайных чисел. Теперь в виртуальные машины передается устройство VirtIO RNG, которое может использоваться всеми машинами, которые умеют его определять, для генерации лучшей энтропии.

Показатель энтропии очень важен для быстрой работы многих криптографических функций, что может выражатся в медленной генерации ключей или задержке при установлении SSL/TLS соединений. Если энтропия низкая, эти операции могут работать медленно или блокироваться для ожидания накопления нужного количества энтропии.

Узнать текущий показатель энтропии для машины можно с помощью команды:

cat /proc/sys/kernel/random/entropy_avail
120

Если он низкий (меньше 250), то это может стать проблемой. Теперь вы можете решить эту проблему с помощью приведенных далее инструкций.

Linux

Установите пакет rng-tools для вашей системы:

# Ubuntu/Debian
sudo apt-get update && sudo 
apt-get install -y rng-tools

# CentOS 7
yum install -y rng-tools
systemctl start rngd
systemctl enable rngd

Зайдите в панель управления VM, выключите VM и включите ее снова. Убедитесь, что показатель энтропии вырос по сравнению с предыдущим замером:

cat /proc/sys/kernel/random/entropy_avail
3124

MS Windows

  • Зайдите в панель управления VM. Выключите VM и включите ее снова.
  • Установите драйверы VirtIO с ISO, который находится в списке доступных.
  • При необходимости перезагрузите операционную систему VM.

Настройка аутентификации на основе SSH-ключей

Для удаленного управления системами Linux необходимо настроить доступ по SSH (secure shell). SSH – это криптографический протокол для управления и взаимодействия с серверами. Существует несколько различных способов подключения к SSH-серверу. В этой статье мы рассмотрим настройку аутентификации на основе ключей SSH.

Многие администраторы по-прежнему используют пароли вместо ключей, хотя ключи не только повышают безопасность, но и облегчают управление системами. Вместо того, чтобы вводить пароль для каждого сервера, достаточно сделать это один раз за сессию. Это особенно удобно, если приходится управлять несколькими системами. После прочтения данной статьи вы удивитесь, почему не отказались раньше от аутентификации на основе паролей.

Читать далее

Livepatch: обновление ядра Linux без перезагрузки

Во время эксплуатации сервера Linux необходимо регулярно применять обновления программного обеспечения для поддержания приложений и операционной системы в максимально работоспособном и безопасном состоянии. Большинство программ можно перезапустить автоматически с помощью такого инструмента, как needrestart, но для обновления ядра ОС такой способ не подходит.

Livepatch является механизмом ядра Linux, который позволяет обновлять ядро без перезагрузки. Из данной статьи вы узнаете, как работает Livepatch, и подходит ли он для вашей системы.

Читать далее

Повышение безопасности OpenSSH

Авторизация по ключам SSH в Linux

SSH или Secure Shell является распространенным протоколом администрирования на системах Linux. Часто он работает на многих системах с настройками по умолчанию. Так как этот сервис открывает потенциальный шлюз в систему, улучшение его безопасности является одним из шагов по усилению защиты системы Linux. В этой статье представлены советы по усилению безопасности сервиса OpenSSH и повышения уровня защиты системы.

Читать далее

Усиление безопасности и защита конфиденциальной информации в Postfix

Ранее мы писали об установке почтового сервера Postfix в дистрибутиве Ubuntu или Debian Linux и на CentOS 7. Если вы уже установили Postfix, то пришло время подумать о повышении безопасности сервера и защите конфиденциальности данных. Этому и будет посвящена наша статья.

Почтовый агент Postfix является распространенным программным компонентом для получения или отправки электронной почты. Он имеет много параметров конфигурации, в том числе предназначенных для повышения безопасности. Следуя инструкциям по улучшению безопасности и защите конфиденциальности Postfix, представленным в этой статье, вы получите систему с улучшенной защитой от спама, несанкционированного использования данных и утечки конфиденциальной информации.

Читать далее