Telegram Web Link
На днях читал новость про взлом крупного почтового сервиса через уязвимость в Roundcube Webmail. Это один из самых, если не самый популярный open source проект для веб интерфейса почтового клиента. Я повсеместно и очень давно его использую и уже привык, что там периодически находят уязвимости. Подписан на их рассылку и сразу иду ставить обновление, если оно появилось. Не откладываю.

С публичным веб интерфейсом постоянно сидишь как на пороховой бочке. Я рекомендую, если есть возможность, скрывать веб интерфейс почты за VPN. Не оставлять его напрямую в интернет. Не всегда это возможно.

Если вам всё же нужно оставить его в публичном доступе, то не ставьте веб интерфейс напрямую на почтовом сервере, хотя часто хочется это сделать. Если сервер не очень большой, то веб интерфейс особо не нагружает систему и удобно иметь всё, что связано с почтой, на одном сервере.

Ставьте веб интерфейс на отдельный веб сервер. Не оставляйте к нему прямого доступа. Если у вас более-менее насыщенная инфраструктура с веб сервисами, то наверняка используется какой-то обратный прокси. Делайте доступ к веб интерфейсу через него. В таком случае при взломе любого веб клиента, не обязательно Roundcube, уязвимости находят везде, просто этот самый популярный, доступ получат только к данным этого клиента.

А там не так уже много конфиденциальной информации. Самое ценное – список всех актуальных почтовых адресов ваших доменов. Неприятно, но некритично. Можно пережить. Если с этого сервера дальше никуда нет доступа и там больше ничего нет, то вы особо не пострадаете. Доступ к почте, как правило, при таком взломе не получить, если на самом почтовом сервере нет уязвимостей, с помощью которых можно без аутентификации получить доступ к почте. Сами пароли от ящиков в веб клиентах обычно не хранятся.

#mailserver #security
В комментариях к одной из заметок проскочила ссылка на небольшой проект, где одним скриптом реализована установка OpenVPN сервера с простеньким веб интерфейсом - Simple OpenVPN Server. Я постоянно использую OpenVPN, так что решил на него глянуть, раньше не видел.

В репозитории представлен bash скрипт, который выполняет установку стандартного сервера OpenVPN, вместе с ним Nginx с запароленным доступом к небольшой админке, где можно добавлять и удалять пользователей. Больше ничего нет.

На первый взгляд ничего особенно и похожих панелей много. Но лично мне понравилась реализация. Сейчас расскажу подробнее. Установка с помощью этого скрипта выглядит следующим образом:

# wget https://raw.githubusercontent.com/theonemule/simple-openvpn-server/master/openvpn.sh
# chmod +x openvpn.sh
# ./openvpn.sh --adminpassword=serveradmin --host=339119.simplecloud.ru --dns1=62.76.76.62 --dns2=77.88.8.1 --vpnport=1194 --protocol=udp [email protected]

Ключи задают: пароль администратора для доступа к админке, имя сервера для выпуска бесплатных сертификатов, dns сервера, которые будут передаваться клиентам в виде настроек, порт сервера и протокол, на котором он будет работать, email, который будет зарегистрирован в let's encrypt при выпуске сертификата.

Дальше скрипт выполняет следующие действия:

1️⃣ Устанавливает необходимые пакеты.
2️⃣ Загружает набор скриптов easy-rsa и генерирует необходимые сертификаты.
3️⃣ Формирует конфигурацию openvpn на основе переданных параметров.
4️⃣ Добавляет настройки iptables для NAT и роутинга соединений клиентов.
5️⃣ Формирует шаблон для конфигураций пользователей.
6️⃣ Получает сертификаты и настраивает виртуальных хост в Nginx.
7️⃣ Скачивает скрипты для виртуального хоста, которые создают конфигурации пользователей и отзывают сертификаты.

В конце скрипт выдал ошибку на перезапуск службы apache. Не знаю, зачем там эта команда. Возможно, автор просто ошибся. Сам apache не устанавливается в систему. Я вручную перезапустил Nginx:

# systemctl restart nginx

После этого можно идти в браузер по имени хоста, вводить логин admin и указанный ранее пароль, чтобы попасть в "админку". Аутентификация реализована с помощью basic_auth.

Теперь отдельно про пару моментов, которые мне понравились. Реализация очень простая. Все конфигурации служб на своём месте. То есть после работы скрипта можно про него забыть и дальше управлять всем этим, как-будто вы всё поставили вручную. Скрипт установки легко читается, можно изменять.

Меня отдельно привлёк веб интерфейс, а точнее то, как он реализован. В директории /var/www/html находятся два bash скрипта: index.sh и download.sh. Их выполнение настроено в Nginx вот так:

location ~ \.sh$ {
    gzip off;
    fastcgi_pass unix:/var/run/fcgiwrap.socket;
    include /etc/nginx/fastcgi_params;
    fastcgi_split_path_info ^(.+?\.sh)(/.*)$;

Я первый раз вижу такую реализацию. В скриптах смесь html и bash. То есть по сути интерфейс управления написан на bash и привязан к кнопочкам на страничках.

Эти скрипты легко приспособить под ваш OpenVPN сервер, который управляется полностью консольно. Если вам надоело добавлять и отзывать пользователей через CLI, можете взять эти скрипты и прикрутить куда-то к себе в закрытый контур.

Реализовано там всё обычными консольными командами, типа таких:

./easyrsa build-client-full $client nopass
./easyrsa --batch revoke $client

и т.д. То есть всё максимально стандартно. Нужно будет только пути поправить под свои реалии и всё.

Вот такой необычный проект для быстрой настройки OpenVPN сервера. Мне в целом понравилось. У меня есть свои подобные скрипты для установки сервера, создания и удаления пользователей. Писал в своё время, чтобы управлять серверами.

📌 Пара полезных ссылок по данной теме:

◽️Подборка вариантов настройки и управления OpenVPN сервера через web интерфейс
◽️Ovpn-admin - простой веб интерфейс в виде одного бинарника для управления Ovpn сервером

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#openvpn
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Настало время... первого открытого Call For Papers на IT Elements 2025!

10–11 сентября ИТ-сообщество традиционно соберется на большой осенней конференции для тех, кто делает ИТ в России. Готовьтесь к новым трекам, новым спикерам и новой грандиозной площадке!

Если у вас есть сильный кейс, нестандартный опыт или нешаблонное решение — пришло время предложить свой доклад. Главное требование — экспертность и новизна темы.

Рассматриваются доклады по ключевым направлениям:
▪️ИТ-инфраструктура
▪️Сетевые решения
▪️Кибербезопасность
▪️Прикладные решения

Станьте главным элементом IT Elements 2025!

Узнать больше и подать заявку можно до 20 июля.
Война пользователей Windows с Defender идёт с тех пор, как он появился и перестал отключаться. Я и сам, помнится, воевал с ним и отключал. Давно это было, но в то время его процессы выжирали у ноутбука заряд, поэтому я вынужден был это делать. Точно помню, как смотрел вечерами фильмы, интернет отключен, а в фоне что-то шуршит, вентиляторы крутятся, заряд батареи утекает.

Навскидку вспоминаются несколько способов. Например, можно было у его бинарников забрать права и разрешение на запуск. Другой вариант - удалить директорию с ним, создать новую такую же и запретить туда запись. В какой-то момент всё это переставало работать с очередным обновлением и Defender снова приезжал в систему.

Сейчас уже давно этим не занимаюсь, смирился. У меня на ноуте работает Defender и я его вообще не трогаю. И вам в общем случае не советую. ☝️ То, что будет рассказано дальше, не рекомендация и не руководство к действию. Расскажу про необычный способ отключить Defender, который меня просто порадовал самой идеей и простотой.

В Windows есть штатный механизм замены Defender на любой другой антивирус. Как только он появляется в системе, Defender отключается и работает сторонний антивирус. Наверняка это какие-то антимонопольные законодатели подсуетились, иначе зачем Microsoft это делать, но не суть.

Какой-то умелец придумал антивирус пустышку, который ставится в систему, ничего не делает, но при этом отключает Defender. Назвал его - defendnot. У меня есть системы, где встроенный защитник нафиг не нужен (компы без сети, тестовые системы). Решил проверить, как этот defendnot работает.

Первое, что приходит в голову, а не вирус ли сам по себе этот липовый антивирус. Virustotal в нём вирусов не находит. Да и сама Windows хоть и не даёт скачать и запустить defendnot, но тем не менее, как вирус его не обозначает, а помечает VirTool:Win64/Defnotldr.A. То есть понимает, что эта штука просто отключает защиту.

В общем, скачал я его и запустил, предварительно отключив защиту. И всё получилось. Defender реально не работает, показывает, что вместо него трудится dnot.sh. В репозитории есть разные способы установки. Я просто скачал zip архив и запустил там defendnot-loader.exe без каких-либо ключей. Потом перезагрузил систему.

Наверняка со временем Microsoft что-то придумает против таких заглушек, но пока работает. Так что, кому надо, пользуйтесь на свой страх и риск. Мне на тестовых виртуалках такое очень кстати, так как надоедает воевать с защитником, когда хочешь для теста запустить какое-то ПО, а он не даёт.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#windows
Для передачи файлов между устройствами существует огромное количество разных способов. В локальной сети отлично работает LocalSend. Я постоянно пользуюсь дома. За пределами локалки через интернет можно передавать файлы через облачные диски. Я использую Яндекс.Диск, но это долго и не очень удобно. Для небольших файлов можно использовать Telegram. Это удобный передатчик файлов, но не всё туда хочется грузить, так как останется навечно.

Расскажу про ещё один простой и безопасный способ передачи своих файлов - croc. Это сервис, который можно поднять у себя и безопасно передавать файлы через интернет в шифрованном виде. То есть вы полностью будете замкнуты на свою инфраструктуру. В репозитории скудное описание и если следовать только ему, то использование croc не кажется удобным. Я с ним немного поразбирался и настроил всё так, чтобы было удобно. Сразу показываю итоговый вариант.

Croc - одиночный бинарник, который может работать и как клиент, и как relay сервер. Если вы не настроите свой relay, то croc будет работать через свой – croc.schollz.com.

Берём любую VPS в интернете, настраиваем доменное имя и скачиваем туда croc. Можно автоматом загрузить:

# curl https://getcroc.schollz.com | bash

В macOS, Windows, Arch, Fedora, Gentoo и даже Freebsd croc есть в стандартных репах. Для Debian/Ubuntu почему-то нет.

Показываю systemd unit для запуска croc relay. Обращаю внимание на переменную CROC_PASS=serveradmin. Это пароль для доступа к relay, чтобы пользоваться им могли только вы.

# cat /etc/systemd/system/croc-relay.service

[Unit]
Description=Croc Relay Server
After=network.target

[Service]
Environment="CROC_PASS=serveradmin"
ExecStart=/usr/local/bin/croc relay
Restart=on-failure
User=nobody
Group=nogroup

[Install]
WantedBy=multi-user.target

Теперь ставим клиент на любое устройство. Он есть под все популярные системы, в том числе Android. Живёт приложение в F-Droid. Разработчик сторонний, не автор croc.

Прежде чем начнём передавать файлы, переведём croc в режим работы classic. В нём можно передавать парольные фразы в виде ключей запуска. Это небезопасно, если системой пользуется кто-то ещё, так как ключи можно посмотреть в описании запущенного процесса. В данном случае это некритично, так как мы запустим процесс с ключами ровно один раз и сразу запишем их в конфигурационный файл, чтобы не вводить каждый раз.

# croc --classic
# croc --remember --relay 339127.simplecloud.ru --pass serveradmin send --code serveradmin /file

◽️--relay 339127.simplecloud.ru - адрес моего сервера с релеем
◽️--pass serveradmin - пароль доступа к релею
◽️--code serveradmin - кодовая фраза, которой шифруются передаваемые данные
◽️/file - файл, который передаю, можно передать сразу директорию

Ключ --remember позволяет записать все используемые параметры в конфиг ~/.config/croc/receive.json. Теперь можно просто написать:

# croc send /file

После запуска передачи в консоли увидите строку для клиента:

CROC_SECRET="serveradmin" croc --relay 339127.simplecloud.ru --pass serveradmin

Идём на другую Linux машину и выполняем там команду, добавив и туда ключ --remember:

# croc --classic
# CROC_SECRET="serveradmin" croc --remember --relay 339127.simplecloud.ru --pass serveradmin

Параметры тоже будут сохранены и в следующий раз файл можно принять так:

# croc

В таком виде этой штукой пользоваться уже удобно. Я ставил клиента на Windows, пробовал передавать файлы. Нормально работает, конфиг сохраняет. В приложении на Android параметры нужно будет задать через GUI.

В целом удобное приложение, замыкающее передачу файлов через интернет полностью на вашу инфраструктуру. Настраивается легко. Там есть ещё некоторые параметры, которые можно поменять. Проект старый, довольно популярный (30.4k звёзд), автор его поддерживает.

🌐 Сайт / Исходники

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#fileserver
Как выбрать техподдержку 1С, чтобы не пожалеть о выборе подрядчика?

В рамках закрытого вебинара облачный провайдер K2 Cloud и официальный партнёр 1С — компания ФТО — обсудили, как устроена техподдержка, зачем бизнесу аутсорс, и как это помогает сэкономить, усилить безопасность и закрыть дефицит экспертизы.

Эксперты подробно обсудили

🔹 SLA и что важно зафиксировать в соглашении
🔹Как правильно организовать передачу системы на поддержку
🔹Какие риски чаще всего встречаются и как их избежать
🔹Лучшие кейсы K2 Cloud и ФТО

Оставьте заявку — и получите весь комплект: запись вебинара, чек-листы по передаче 1С и управлению рисками, а также презентацию спикеров.

Получить материалы>>
Небольшая техническая информация для тех, кто может быть не знал или просто не задумывался о практической разнице между Wi-Fi 2,4 ГГц и 5 ГГц. В городе обычно выставляешь ту частоту, что меньше забита, чтобы получить более стабильное и скоростное соединение. И выбирать зачастую не приходится. О максимальных скоростях этих частот можно только мечтать. Там что получится, то и получится.

Я настраивал точку доступа у себя в деревянном доме, где рядом вообще нет ни одной Wi-Fi сети. Первый раз оказался в такой ситуации, настраивая Wi-Fi роутер. Можно выбирать любые подходящие настройки. Частота 5 ГГц даёт более высокую скорость, но хуже покрытие. Роутер на ней не покрывает весь дом. В крайних точках связь нестабильная и отваливается.

А 2,4 ГГц имеет более низкую скорость, но лучше преодолевает препятствия и уверенно покрывает весь дом. Ставил точку в один конец дома и уверенно принимал сигнал в дальней комнате на втором этаже. Я эту частоту и оставил, так как Wi-Fi нужен редко для доступа в интернет, который всё равно медленнее. Во все стационарные места я провёл кабели.

Причём с кабелем я ошибся. На момент покупки просто не знал об одном нюансе. Купил какой-то дорогой экранированный кабель, но он у меня не заземлён. Может ещё и заморочусь, но пока заземления нет. Без заземления экранированный кабель работает хуже, чем обычный. Так что если не планируете заземлять свой utp кабель, не покупайте с экраном.

#железо #wifi
Я уже когда-то давно упоминал про любопытный сайт, где простыми словами описываются различные уязвимости веб приложений:

Hacksplaining ⇨ Lesson Library

На текущий момент сайт доступен только через VPN. Не знаю, кто и за что блокирует, но не суть. Там есть раздел, где наглядно описаны и на примерах показаны уязвимости и как их эксплуатируют. К некоторым реализованы интерактивные действия, где вы сами поучаствуете во взломе. Сделано необычно и интересно, всё описано простыми словами.

Даётся минимум теории по выполненным шагам. Но в целом всё понятно. Как говорится, вместо тысячи слов. Проще один раз сделать самому и всё понять. Посмотрите на описание SQL Injection, и сразу поймёте о чём я говорю. Также рекомендую как минимум посмотреть наиболее популярные уязвимости:

▪️Cross-Site Scripting
▪️Command Execution
▪️Directory Traversal
▪️File Upload Vulnerabilities

Из последних нововведений - описание нескольких примеров уязвимостей искусственного интеллекта, доступного публично. Из него, оказывается, можно вытянуть информацию, которая не должна быть доступна широкому кругу лиц. Я об этих вещах раньше не слышал и даже не задумывался. Например, из модели можно вытянуть реальные данные, на которых она обучалась, или заставить её выполнить код из загруженного документа. Это при условии, что её заранее не защитили от этих вещей.

Ресурс будет в первую очередь интересен разработчикам, так как там наглядно показано, как не надо писать код или настраивать ИИ. Админам и девопсам будет просто полезно посмотреть, как обычно ломают веб ресурсы, ИИ, и за какие промахи можно бить по рукам разработчиков. Да и просто интересно ознакомиться для общего образования. Платить не надо, всё бесплатно.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#security #обучение
🐳 Как управлять данными и сетями в Docker, чтобы гарантировать безопасность и производительность на высоком уровне?

👉 Приглашаем вас на открытый вебинар «Работа с данными и сетями в Docker» 2 июля в 20:00 МСК.

Разберём:
- Основы работы с данными в Docker: тома, bind-mount, tmpfs.
- Как изолировать и безопасно использовать данные в контейнерах.
- Типы Docker-сетей и их применение: мост, хост, оверлей и другие.
- Практику настройки взаимодействия контейнеров через сеть и безопасность в Docker.

Вы научитесь настраивать сетевые решения, масштабировать инфраструктуру и обеспечивать защиту данных в контейнерах. Эти навыки незаменимы для успешной работы в современных микросервисных архитектурах.

Вебинар проходит в преддверии старта курса «DevOps практики и инструменты».

👉 Для участия зарегистрируйтесь: https://clck.ru/3MproR

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Последнее время всевозможные блокировки стали капитально напрягать 😡Причём зачастую не знаешь, кто и за что блокирует, соответственно, сразу не понятно, какие меры надо принимать.

Например, у меня через проводной интернет Ростелеком иногда не работает что-то одно, через 4G от Tele2 не работает другое, через Yota не работает третье. Начинаешь всем этим жонглировать, меняя подключения. Причём не работают иногда российские сайты, или точнее сайты на русском языке в домене ru, так как в интернете принадлежность к стране условная.

Если не помогает, то в ход идут VPN. Сначала использую подключение через российских хостеров, где арендуются VPS. Через них частенько нормально работает Cloudflare, хостер Hetzner и ресурсы на нём или Youtube. Не у всех, но иногда может повезти. Если не помогает, переключаюсь на иностранные хостинги.

Вчера не смог установить расширение в Visual Studio Code. Тупо не ставится и всё. Не знаю, кто, что и где блокировал. Переподключаться не хотелось, так как слетели бы открытые подключения. Вышел из ситуации ручной установкой расширения. Для тех, кто не знает, да и для себя, чтобы не забыть, напишу, как это сделать.

Ищите нужное расширение в магазине. У расширений есть своя страничка, где почти всегда есть ссылка на репозиторий с исходным кодом. Мне не попадалось ни одного расширения без исходного кода. В репозитории в релизах обычно есть возможность скачать расширение в формате .vsix.

Скачиваете этот файл, идёте в VS Code, открываете вкладку Extensions. В левом верхнем углу жмёте на три точки и выбираете Install from VSIX. Ну и ставите расширение.

Кому интересно, я когда-то давно писал, как использую VSCode. Информация старая, но актуальнее ничего нет. Давно запланировал записать серию коротеньких роликов по работе с VSCode, но так руки и не дошли. Надеюсь получится реализовать.

Для тех, кто только будет пробовать VSCode и с ним ещё не знаком, ставьте сразу форк VSCodium. Это community версия VSCode с вырезанной телеметрией и брендированием Microsoft. Поддерживает все расширения для VSCode. У меня так руки и не дошли на него переехать.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#vscode
Стек сетевых протоколов кажется лабиринтом, а при первой проблеме вы теряетесь в утилитах?

👉 На открытом вебинаре «Стек сетевых протоколов и с чем его едят. На примере TCP/IP.» 2 июля в 20:00 МСК мы разберём:

- Рассмотрим основы стека сетевых протоколов.
- Узнаем, как реализуется стек сетевых протоколов.
- На практике поработаем с сетевыми утилитами на хосте.
В результате вебинара:
- Сможете разобраться, как именно работает стек сетевых протоколов
- Сможете на практике использовать сетевые утилиты на хосте для отладки сетей.

⭐️ Урок проходит в преддверии старта курса «Network engineer. Basic».

👉 Регистрируйтесь для участия: https://clck.ru/3Mr8dW

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Я анонсировал ранее подборку сайтов IT блогеров со статьями на различные темы, связанные с настройкой и эксплуатацией IT систем. Собралось небольшое сообщество авторов. Полный список сайтов будет в конце. А пока анонс новых статей тех авторов, кто согласился участвовать и прислал свои материалы.

🔥 ShellGPT — ИИ ассистент в вашем терминале Linux
Подробная статья с множеством примеров, где ИИ анализирует конфигурацию сервера, ставит пакеты, пишет код или выполняет какие-то ещё действия. Материал большой и интересный, но где реально всё это можно применять, не совсем понимаю. На рабочие же машины не будешь это ставить. А в таком случае всё равно придётся переносить туда-сюда конфиги, логи, итоговые решения. И смысл интеграции ИИ в консоль теряется.

Что такое Command & Control server? Рассмотрим на примере лучшего С2 — Adaptix Framework
Вообще не знал о существовании такого рода продуктов. От меня далека эта тематика. Было интересно почитать. Если кратко, речь идёт про ПО, которое управляет агентами на взломанных системах, куда их удалось установить.

Как отслеживать C2 инфраструктуру c помощью Shodan и Censys
Косвенное продолжение предыдущей темы с C&C, только теперь автор с помощью Shodan и Censys ищет доступные через интернет C&C сервера.

WireGuard MikroTik сервер
Подробная статья по настройке WireGuard-сервера на MikroTik для доступа удаленных пользователей к корпоративным ресурсам. 

Пишем универсальный скрипт проверки доступности хостов
Описание большого скрипта для мониторинга доступности хостов, сайтов, открытых портов с логированием, который можно запускать как службу systemd. После прочтения вспомнилась песенка НТР - Костыль и велосипед, хоть она и про другое, программистское.

Obsidian — Прогрессивный инструмент для ведения заметок на ПК и смартфоне
Обзор, как мне кажется, самого популярного бесплатного (❗️исходный код закрыт) решения для ведения текстовых заметок. К нему есть куча плагинов, обзоров, рекомендаций по ведению заметок и т.д. Если бы я сейчас выбирал что-то подобное, то наверное на нём бы остановился. Автор привёл пример своих плагинов, которые использует.

Подключение OpenWrt к OpenConnect серверу
Пример настройки подключения роутера с прошивкой OpenWrt к VPN серверу OpenConnect.

Если кто-то хочет присоединиться к этой подборке, то пишите мне в личные сообщения. Пока список выглядит так:

▪️https://r4ven.me
▪️https://wiki-it.ru
▪️https://www.gurin.ru
▪️https://sysadminhub.ru
▪️https://devopslife.ru
▪️https://bite-byte.ru
▪️https://desoft.ru
▪️https://www.pc360.ru
▪️https://bafista.ru
▪️https://it-experience.ru
▪️https://blogadminday.ru
▪️https://marukhin.ru
▪️https://blog.mons.ws
▪️https://lytkins.ru
▪️https://sysops.host

#статьи
2025/07/06 19:37:39
Back to Top
HTML Embed Code: