DNS-провайдер OpenDNS объявил о предварительном релизе открытого инструмента, предназначенного для улучшения интернет-безопасности: DNSCrypt шифрует весь DNS-трафик между системой пользователя и сервером DNS. На данный момент утилита доступна только для Mac, выход версии для Windows обещан, и работает только собственным DNS-сервисом OpenDNS. Как правило, обмен информации DNS между клиентом и сервисом происходит в виде простого текста, что делает ее уязвимой к перехвату и изменению. Шифруя передачу, OpenDNS надеется сделать «последнюю милю» DNS-запросов более безопасной.

DNS Security Extensions (DNSSEC) делает процесс более безопасным, добавляя аутентификацию в DNS-коммуникацию, но не шифрует текущий процесс обмена. Давид Улевич, генеральный директор OpenDNS, говорит, что DNSCrypt предназначен для решения этого недостатка, отметив, что это реализация концепции DNSCurve. Улевич говорит, что инструмент является «предварительной технологией» и что он должен дополнять DNSSEC, добавляя, что шифрование всего DNSтрафика не единственное решение, и проверка и подтверждение доменов, наподобие DNSSEC, занимает важное место, но это серьезное начало. Тем не менее он не озвучил никаких планов по показу DNSCrypt стандартизирующим организациям.

.

Источник:  http://www.h-online.com/security/news/item/DNSCrypt-a-tool-to-encrypt-all-DNS-traffic-1392283.html

ModSecurity – это бесплатный открытый модуль Apache, работающий как файерволл веб-приложений (WAF).

Основная функция ModSecurity заключается в обеспечении надежной защиты от сетевых угроз. Он не перемещает фокус с приложения на безопасность, а скорее добавляет функции на глобальном уровне. Вы можете настроить его, задав правила, условия для каждого эпизода связи между клиентом и сервером, в том числе заголовка запроса, тела запроса, заголовков отклика и тела отклика. Таким образом, ModSecurity может предотвращать атаки на сервер

ModSecurity может смягчать атаки нулевого дня и обеспечивать защиту от уязвимостей до того, как это сделают производители, как это недавно произошло с уязвимостью Apache Range Header DOS и DOS-атакой плавающей точки Java.

При выполнении необходимых условий, ModSecurity может выполнять чрезвычайно результативную работу. Действия могут деструктивными, такими как блокировка транзакций, или не деструктивными, такими как журналирование данных. Он может выполнять команды Linux при некоторых условиях, что значительно расширяет функциональность ModSecurity и дает всю мощь Linux для обработки транзакций. Можно создавать цепочку правил для выполнения более сложных условий. Его алгоритмы учета могут быть использованы в качестве замены для ModEvasive, чтобы остановить чрезмерное количество запросов и DOS-атак.

.

Подробнее: http://olex.openlogic.com/wazi/2011/protect-and-audit-your-web-server-with-apaches-modsecurity/

Когда вы проектируете веб-приложения или просто пытаетесь проверить и настроить свои веб-сервера, то лучшим инструментом для начала будет httperf.

Название, возможно, ни о чем не скажет, но httperf – это утилита, которая выдает рабочую нагрузку для тестирования http-серверов. Она работает с HTTP/1.0 и HTTP/1.1, а если понадобится, то и с SSL. Она была написана Дэвидом Мосбергером для HP и выпущена под лицензией GPLv2.

Самым распространенным использованием httperf является httperf--server=servername. Отметьте себе, что servername должно быть именем домена без предшествующего «http://» ‑ только имя сервера.

После запуска httperf, он сгенерирует отчет с данными теста. В него включаются количество подключений, скорость подключений, размеры запросов, скорость запросов, время/размер отклика и его скорость, а также еще много данных. Также вы получите список ошибок, если таковые имеются.

Естественно, httperf имеет гораздо больше возможностей, чем просто опция --server. Опция --wsess говорит httperf сколько нужно сгенерировать сессий, количество вызовов за сессию и сколько секунд отделяет каждый вызов. Это указывается следующим образом: --wsess=25,10,5, где первое число – єто количество сессий, второе – количество вызовов за сессию и последнее ‑ интервал.

Также есть опция –wsesslog, позволяющая предоставить входной файл с вызовами, которые вы хотите сделать во время сессии. Смотрите страницу man для  httperf , чтобы узнать об этом подробнее.

.

Подробности решения:  http://www.serverwatch.com/server-tutorials/use-httperf-for-server-benchmarking.html

В этом руководстве рассказывается, как можно надежно смонтировать каталог с удаленного сервера к локальному серверу при помощи SSHFS. SSHFS (Secure SHell FileSystem) это файловая система, безопасно обрабатывающая файлы / каталоги через SSH, чтобы локальные пользователи могли бы использовать их, словно бы они являлись локальными файлами / каталогами. К локальному компьютеру удаленный ресурс монтируется через FUSE (Filesystem in Userspace). Для локального и удаленного серверов я буду использовать Debian Squeeze.

1 Введение

В этом руководстве я использую следующие две системы:

• Local system: server1.example.com, IP address: 192.168.0.100
• Remote system: server2.example.com, IP address: 192.168.0.101

Я продемонстрирую, как использовать SSHFS в качестве root и также как его использовать  как стандартного пользователя.

2 Установка SSHFS

В локальной системе SSHFS должен быть установлен следующим образом:

 apt-get install sshfs

 Затем убедитесь, что загружено ядро модуля fuse:

 lsmod | grep fuse

 root@server1:~# lsmod | grep fuse
fuse                   50625  1
root@server1:~#

3 Использование SSHFS под root

Теперь я хочу подключить удаленный каталог /home/backup (на server2, владельцем является пользователь root сервера server2) к локальному каталогу /backup кА локальный пользователь root.

Сначала добавим root в группу fuse:

 adduser root fuse

 Создайте локальный каталог /backup и проверьте, что его владельцем будет root (это произойдет, если вы запускаете команды как root):

 mkdir /backup
chown root /backup

 Потом подключим удаленный каталог /home/backup к /backup:

 sshfs -o idmap=user root@192.168.0.101:/home/backup /backup

 (Вы можете использовать полный путь к удаленной системе, как это показано выше, или относительный путь, как здесь:

 sshfs -o idmap=user root@192.168.0.101: /backup

 Если вы используете относительный путь, то он относителен к каталогу локального пользователя, так что в данном случае это будет /root/backup. Вы даже можете выйти из удаленного каталога, примерно вот так:

 sshfs -o idmap=user root@192.168.0.101: /backup

 Это будет преобразовываться в каталог удаленного пользователя – в нашем случае /root.)

Неважно, если удаленная и локальная системы используют разные пользовательские ID – файлы принадлежащие удаленному пользователю также принадлежат и локальному пользователю. Если вы не используете параметр -o idmap=user, то у вас могут возникнуть проблемы с правами.

Когда вы первый раз подключитесь к удаленному хосту, то увидите предупреждение об аутентификации хоста (если вы подключитесь до использования ssh или scp, то не увидите предупреждение). В любом случае, у вас спросят пароль root для server2:

 root@server1:~# sshfs -o idmap=user root@192.168.0.101:/home/backup /backup
The authenticity of host ’192.168.0.101 (192.168.0.101)’ can’t be established.
RSA key fingerprint is 25:d8:7a:ee:c2:4b:1d:92:a7:3d:16:26:95:56:62:4e.
Are you sure you want to continue connecting (yes/no)? <— yes
root@192.168.0.101′s password: <— server2_root_password
root@server1:~#

 Теперь, давайте проверим, примонтированна ли удалённая директория к /backup:

 mount

root@server1:~# mount
/dev/sda1 on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
fusectl on /sys/fs/fuse/connections type fusectl (rw)
root@192.168.0.101:/home/backup on /backup type fuse.sshfs (rw,nosuid,nodev,max_read=65536)
root@server1:~#

df –h

root@server1:~# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/sda1              29G  1.2G   26G   5% /
tmpfs                 249M     0  249M   0% /lib/init/rw
udev                  244M  100K  244M   1% /dev
tmpfs                 249M     0  249M   0% /dev/shm
root@192.168.0.101:/home/backup
29G  1.2G   27G   5% /backup
root@server1:~#

Выглядит отлично!

Чтобы отмонтировать эту папку, наберите:

 fusermount -u /backup

.

Оригинал:  http://www.howtoforge.com/mounting-remote-directories-with-sshfs-on-debian-squeeze

Вы можете попасть в ситуацию, когда в системе установлена старая версия Debian, такая как Etch, Sarge, Woody и т.д., и обновление дистрибутива не вариант (возможно, что вы донастраивались систему настолько, что боитесь поломки, в случае обновления дистрибутива). «Нормальные» репозитории для этих систем уже не существуют, а это значит, что вы не можете установить новое программное обеспечение или обновить уже установленное при помощи apt. В этом руководстве показано, как вы можете изменить свой /etc/apt/sources.list чтобы все так же получать пакеты для старых версий Debian при помощи apt.

1. Замечания

Пожалуйста, не поймите меня неправильно – я не хочу способствовать тому, чтобы система Debian не обновляется до последней стабильной версии – на самом деле, я рекомендую это сделать! Но иногда жизнь бывает не так проста, и встречаются ситуации, когда обновление не является вариантом. Вот для таких ситуаций и создано это руководство.

2. Изменяем /etc/apt/sources.list

После того, как версия Debian достигла EOL (конца жизни), ее репозитории переходят в архив Debian. Поэтому мы можем использовать этот архив для получения пакетов для нашего дистрибутива. Синтаксис для /etc/apt/sources.list выглядит следующим образом:

deb http://archive.debian.org/debian/ <version> main non-free contrib
deb-src http://archive.debian.org/debian/ <version> main non-free contrib

deb http://archive.debian.org/debian-security/ <version>/updates main non-free contrib
deb-src http://archive.debian.org/debian-security/ <version>/updates main non-free contrib

Так что, для использования Debian Etch, нужно закомментировать все остальные репозитории в /etc/apt/sources.list и добавить следующие строки:

vi /etc/apt/sources.list

deb http://archive.debian.org/debian/ etch main non-free contrib

deb-src http://archive.debian.org/debian/ etch main non-free contrib

deb http://archive.debian.org/debian-security/ etch/updates main non-free contrib

deb-src http://archive.debian.org/debian-security/ etch/updates main non-free contrib

Запустите

apt-get update

для обновления базы пакетов.

Если вы получили подобную ошибку:

W: There is no public key available for the following key IDs:
9AA38DCD55BE302B
W: GPG error: http://archive.debian.org etch/updates Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY 9AA38DCD55BE302B
W: You may want to run apt-get update to correct these problems

просто установите пакет debian-archive-keyring…

apt-get install debian-archive-keyring

… и запустите

apt-get update

снова.

.

Оригинал: http://www.howtoforge.com/using-old-debian-versions-in-your-sources.list