[ CoyoteKG @ 07.05.2018. 15:02 ] @
Instalirao sam Opsani VCTR free, i po rezultatima imam 76 vulnerabilities na web serveru.
Oni naravno nude i pro verziju aplikacije koja patchuje to automatski, ali mene interesuje kako ja ovo mogu sam da patchujem jedan po jedan?

Recimo CVE-2017-2636 su oni ocenili ocenom 8/10.
A CVE-2017-8890, CVE-2017-7895, CVE-2017-11176 ocenom 5/10

Prostim guglanjem "CentOS how to patch CVE" nisam baš naišao na nešto što bi mi pojasnilo.
Tako da zaključujem ili je mnogo prosto što svi znaju :), ili ne znam kako da guglam
[ Aleksandar Đokić @ 07.05.2018. 17:04 ] @
Ti to dobijes tako sto pokrenes na serveru nesto ovako:

Code:
{ uname -rm; cat /etc/os-release 2>/dev/null || cat /etc/issue; echo '==='; rpm -qa --qf '%{NAME} %|EPOCH?{%{EPOCH}:}:{}|%{V}-%{RELEASE} %|ARCH?{%{ARCH}}:{noarch}| %{SOURCERPM}%|VENDOR?{ %{VENDOR}}:{}|\n'; }[


Jel?

Nisam bas gledao dublje ali ovo bi trebalo da izlista instalirane pakete i njihove verzije na sistemu, i onda oni iz baze izvuku jel ta verzija odredjenog paketa ranjiva na nesto... ako jeste i ako je dovoljno ozbiljno za to imas otvoren CVE. A da bi zakrpio rupu treba taj paket da updatujes.
[ CoyoteKG @ 07.05.2018. 20:09 ] @
Da, sry, nisam instalirao, odnosno jesam, ali da ne ulazim dublje.

Da, kad se okine ta komanda ili kompletna
{ uname -rm; cat /etc/os-release 2>/dev/null || cat /etc/issue; echo '==='; apt-config dump; echo '==='; dpkg-query -S /lib/modules/$(uname -r)/kernel; echo '==='; dpkg-query --show -f '${Status},${Package} ${Architecture} ${Version} ${Source}\n'; } | curl --data-binary @- https://ace.datagridsys.com/api/ace/?action=eval

Dobijem neki link u gridovima ovakav


Da sad mi je jasno.
Bilo mi je cudno jer sam mislio da im je sve up to date.
Ali izgleda sve vezano za ranjivosti jeste za kernel koji nisam nikada updatevao niti razmisljao o njemu.
Koliko je rizicno raditi update kernela, i postoji li neki backup pre toga :)? sad cu da guglam :)

edit:
deluje jednostavno, ako sam razumeo nema nikakvog update, nego mogu da imam vise kernela instalirano, i u grub treba da podesim koji zelim. Pa ako ne valja mogu da vratim na stari. Sjajno :)

[Ovu poruku je menjao CoyoteKG dana 07.05.2018. u 21:31 GMT+1]
[ Aleksandar Đokić @ 07.05.2018. 21:42 ] @
Jel da da jeste :D ?

Uradis yum/apt-get/dnf update i on updateuje i kernel... i kad restartujes grub te pita koji da bootuje, a najnoviji stoji kao default :).

E sad mislim da je tu malo zadrndano ako si sam kompajlirao kernel, pa ima nesto custom... ili je stripovan, ili nesto dodato (driver?) onda mi se nekako cini da treba paziti :).

Npr. znam kad sam poslednji put instalirao Gentoo na vmware-u da sam i dalje morao da dodajem neke module/drajvere da bi video disk.

edit:

Btw, znas sta ti je pametno... izoluj server mrezno maksimalno. Da je u DMZ-u samo ono neophodno, 80/443 ako je web server itd, i onda pazis na te "exposed" servise.
[ CoyoteKG @ 07.05.2018. 22:28 ] @
Ma da, odavno su mi otvoreni samo 80 i 443. Ostali poput 21, 22 i 3306 su otvoreni samo ka nekoliko IP adresa,
Nego eto htedoh da proverim ranjivosti, i kernel mi dakle nije up to date.

Serveri su hostovani kod Hetznera, dedicated, imam dakle samo remote pristup, pa ono, valjda nemaju neki custom kernel, ili driver.
[ Aleksandar Đokić @ 08.05.2018. 14:26 ] @
Imam i ja dedicated kod Hetznera, samo mi je bilo nonsense da ceo hardverski server bude samo za nesto npr. web server... jer nikad necu iskoristiti resurse ni 30%.

Onda sam stavio Debian+XEN i napravio virtualke za svasta nesto. Mislim da je bolje resenje.

Inace to otvoren port "samo za neke" ip adrese isto moze da bude problem, zbog spoofovanja sourceIP-ja.
[ CoyoteKG @ 08.05.2018. 15:46 ] @
Imamo stotinjak wordpress sajtova koje smo mi radili, doduse ni za njih nije bitan tako jak server.
Veci je problem bio neki magento 1.9 koji je bio dosta posecen, sa kojim smo imali muke, pa su se jos pre mene odlucili da pojacaju hardware. Doduse odnedavno smo ga izbacili i menjamo ga sa nekim drugim CMS.
Nisam nikad instalirao XEN, ali eto dobre ideje, hvala :).

Kako je oko Public IP adresa za taj server gde vrtis te virtualke? Je l' se to lako dodaje? Znam da Hetzner ima neko ogranicenje, i potreban neki dodatno "Flexi paket" ili tako nesto za dodatne IP.


I, vezano za temu, taj debian sto ti je na toj dedicated, bez problema update kernela i kojecega? Debian si instalirao sa njihovim pripremljenim image? Nema neki custom kernel ili drajvere..?
[ Aleksandar Đokić @ 08.05.2018. 21:09 ] @
Bolje resenje ti je sad ESXi.

Public IPjeve narucis, ako/kad dobijes u onom njihovom panelu moras da dodelis novi MAC, pa onda taj MAC dodelis interfejsu virtualke, inace ne radi jer Hetzner ima neka ogranicenja radi bezbednosti na svicevima/ruterima. Bar je tako ranije bilo, nisam radio skorije. Ne znam za taj "flexi" paket.

Debian bez problema update... ali njega ne moras da drzis u DMZ-u. Pristup direktno internetu imaju samo virtualke, jel :).

Debian je njihov... ne moze drugacije.




[Ovu poruku je menjao Aleksandar Đokić dana 08.05.2018. u 22:23 GMT+1]
[ CoyoteKG @ 08.05.2018. 21:22 ] @
Stigao mi je skoro mail, kao neki info vezano za MAC adrese i IP, da treba da prekontrolisemo. No nemam ni na jednom serveru vise od jedne IP adrese.

Citat:
Debian je njihov... ne moze drugacije.

Mozes da instaliras sta god zelis, ne moras da koristis njihove image-ove.

Citat:
Bolje resenje ti je sad ESXi.

Xen je valjda totalno free. A ESXi koliko sam citao, free verzija je mnogo "ustrojena". Valjda ne moze cak ni incremental backup.



Citat:
Debian bez problema update... ali njega ne moras da drzis u DMZ-u.

Kako pristupas onda i kontrolises VM? :)
[ Aleksandar Đokić @ 08.05.2018. 21:26 ] @
Napisao sam gore, ali si vec odgovorio.

Javna za taj debian je u pocetku normalno bila na eth interfejsu, a xen napravi svoj bridge interfejs (virbr0) u kom se nalaze interfejsi virtualki koje pravis, i onda da bi virtualke imale pristup napolje to je moralo nekako bridgeovati. Onda sam ja uzeo i lepo eth interfejs ubacio u virbr0 bridge, a javnu stavio na njega :). Tako ako virtualkama stavis odgovarajuci mac i javnu sve radi kako treba.

-

Nisam znao da sad mogu da instaliram sta god hocu, probacu.

ESXi inkremental bekap cega ? TI bekapujes virtualke, cPanel ili sta vec - promasena poenta. Besplatni ESXi radi super (za tu namenu).

Inace, razumeo sam na sta mislis... vmware ima bekap API koji se zove (VAAI) koji koriste 3rd party softveri preko vcentra za online bekap.

Ovo poslednje je na tebi, jel?
[ CoyoteKG @ 21.05.2018. 11:14 ] @
Citat:
Aleksandar Đokić:
Uradis yum/apt-get/dnf update i on updateuje i kernel... i kad restartujes grub te pita koji da bootuje, a najnoviji stoji kao default :).

Sa ovom komandom mi updatuje na zadnji kernel koji je verovatno za tu verziju distroa. Tako da sa tim nisam resio problem.
Probao sam prvo na nekom nebitnom serveru gde mi je Centos 6, i tu sam posle yum update i dalje bio na istoj 2.6 verziji.

Da bih dobio zadnju stable verziju koja je 4.16 u ovom momentu, morao sam da dodam ELRepo Repozitorijum.
Posle toga sa komandom
yum --enablerepo=elrepo-kernel install kernel-ml


Nisam znao kako da editujem /etc/grub.conf, pa posle toga da okinem update-grub ili grub-mkconfig, dobijam "command not found" pa sam morao direktno da menjam nad /boot/grub/grub.conf. Koliko sam citao u nekoj knjizi, nije bas najbolje resenje direktno menjati taj fajl :)
[ Aleksandar Đokić @ 21.05.2018. 19:19 ] @
Nije zato sto ga prepise sa /etc/default/grub.. tako nesto. Ali ako tamo izmenis sve ok.

A pravilno bi valjda trebalo dodati u /etc/default/grub.d pa tamo imas custom pravila.

Zaboravilo se... ali ako tacno probas napisi :).
[ CoyoteKG @ 21.05.2018. 21:06 ] @
Evo ti linije, pa napravi skriptu za Centos 7 :D


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
yum --enablerepo=elrepo-kernel install kernel-ml
sudo grub2-set-default 0
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot


Koliko kontam kod grub se edituje direktno conf fajl, a kod grub2 se izgleda koriste neke komande.
Nisam detaljno jos to citao, ali umesto da editujem default de mi bude 0 direktno u conf fajlu, ovde postoji komanda grub2-set-default 0. A nakon toga sa grub2-mkconfig se izmene snime u /bppt/grib2/grub.cfg
Valjda je bezbednije, jer se izmedju ostalog izgleda proveravaju i greske u sintaksi pre nego sto prepise taj conf u boot. Dok ako rucno editujemo, a server remote... eto zaebancije.
Jos mi ovi serveri su dedicated na hetzneru, tek sad sam skontao da nemam iz robota konzolu da mogu da pridjem ako je zaglavio na boot-u.


Sad mi onaj pomenuti Opsani VCTR sa početka teme prijavljuje samo 1 ranjivost. Moraću da vidim kako i to da otklonim. Jer sam okinuo i yum update, i update kernela, ali ovo nesto vezano za dhcp i dalje problem.
Mozda u pitanju, lupam, neka Hetznerova skripta prilikom instalacije tog distroa.
[ Djetvan @ 21.05.2018. 21:07 ] @
Citat:
CoyoteKG:
Nisam znao kako da editujem /etc/grub.conf, pa posle toga da okinem update-grub ili grub-mkconfig, dobijam "command not found" pa sam morao direktno da menjam nad /boot/grub/grub.conf. Koliko sam citao u nekoj knjizi, nije bas najbolje resenje direktno menjati taj fajl :)


Grub.conf sa edituje posredno preko fajla :
/etc/grub.d/40_custom
[ CoyoteKG @ 21.05.2018. 21:11 ] @
Nemam taj fajl na Centos 6
Imam /etc/grub.conf. Nemam ni u /etc/default/ nista vezano za grub
[ Branimir Maksimovic @ 21.05.2018. 21:24 ] @
Na centos 6 imas grub 1, podesavanja se vrse editovanjem /boot/grub/menu.lst koji je samo symlink na /boot/grub/grub.conf.
[ CoyoteKG @ 21.05.2018. 21:27 ] @
A cemu sluzi /etc/grub.conf ? Isti je kao /boot/grub/grub.conf
[ Branimir Maksimovic @ 21.05.2018. 21:27 ] @
vidi da nije symlink.
[ Aleksandar Đokić @ 25.05.2018. 11:19 ] @
[offtopic]
Jel te zakacilo ovo:

Citat:
Type: Fault report
Categories: Basic infrastructure
Start: May 24, 2018 11:30:00 AM CEST
End: Unknown
Description: Due to a current disruption of the power supply at the location Falkenstein, there are currently accessibility problems of some customer servers. Our technicians are currently working on root cause analysis and we will keep you up to date.

Update: May 24, 2018 12:10:00 PM CEST
Update: According to current knowledge, there was a power failure at 11:00 am in the DC7, DC10 + DC12. The consequences was a failure of the core networking equipment at the Falkenstein site, which led to a short-term outage of the entire network connectivity in Datacenter park location in Falkenstein.

https://www.hetzner-status.de/en.html#8842


Mene nazalost :(... koji kraljevi.

[/offtopic]
[ CoyoteKG @ 25.05.2018. 11:30 ] @
Nisu, ali vidim juce mi stiglo 10 notifikacija, i nisam video da je status da su resili problem...
[ Aleksandar Đokić @ 25.05.2018. 14:16 ] @
Pazi, ti data centri su vezani na dve, ako ne vise trafostanica bas zbog redundatnosti napajanja... da ne pominjem UPSove i agregate.

Sta je trebalo da se desi za ovako nesto?
[ CoyoteKG @ 25.05.2018. 15:05 ] @
Pokusavam da izgluglam vise informacija osim na Hetzneru, i ovo je jedini rezultat

http://www.bug.hr/forum/topic/...056&sort=asc&view=flat

Citat:
Nije stvar toliko jednostavna sto se tice Hetznera.
Koliko mi je poznato, kronologija je bila sljedeca.

1. Opaki pad napona u mrezi
2. UPS-ovi nisu odradili svoje i dio UPS-ova je krepao
3. Neki datacentri se sada voze bez UPS-ova dok traje "istraga" i popravak istih
4. Pad napona je ubio veliki broj ToR switcheva, nekoliko core switcheva i jako puno servera.
5. Trenutno im je oko 3K ticketa u queueu, vecinom za servere koji se nisu probudili nakon pada napona.
6. #FunTimes :)


A ovde mi je malo hronoloski istumbano da bih skontao sta se desava, a verovatno i ne pricaju kompletnu istinu :)
https://www.hetzner-status.de/en.html

U svakom slucaju ne verujem da je tako jednostavno iako zvuci logicno "sto ne ukljuce agregate" :)
[ Aleksandar Đokić @ 27.05.2018. 00:05 ] @
Agregatima treba vreme da se upale... za to vreme oprema radi na UPS-evima.

Ovo tipa opaki pad napona... pa jedna od uloga UPS-eva je to peglanje i filtriranje napona iz mreze. Bas bi bilo lepo neko sa foruma elektronika da pojasni koliko stvarno UPS tu moze da pomogne. Ja sam davno otvarao jedan APC, i znam otprilike cega tu ima, mada verovatno zavisi od modela, plus ovo su enterprise koznakakvi UPS-evi.



[ CoyoteKG @ 27.05.2018. 01:09 ] @
Radio sam u firmi gde smo imali ogroman UPS i jos veci agregat.
U momentu kada nestane struje, ukljucuje se agregat, I samo kase, racunare, servere, mreznu opremu smo imali na UPS koji je mogao do 1h pod punim opterecenjem da iznese.
Mada to nikad nije bilo vise od par sekundi jer se agregat ukljuci. Nikad nije bilo problema, a jednom u par meseci su dolazili da nam testiraju UPS.
[ valjan @ 27.05.2018. 08:18 ] @
Moj prvi dan obuke u sličnoj firmi sa ogromnim UPS-om i agregatom: distribucija javila da će zbog radova isključiti napajanje na 4 sata, kada je došao taj trenutak UPS preuzeo na sebe napajanje, agregat krenuo da se pali i tajac... Posle nekoliko neuspešnih pokušaja paljenja agregata, na kraju smo posle nekih sat vremena izgasili sve računare i servere i čekali da distribucija završi posao, a onda su uveli obavezu periodičnog testiranja agregata u svim objektima...
[ Aleksandar Đokić @ 27.05.2018. 16:14 ] @
Ha to je apsolutno najgori scenario.

I ja sam radio po ovim nasim provajderima gde je bilo testiranja agregata jednom nedeljno.

Jednom se desilo da je izbacio bio neki glavni osigurac i nestalo struje u jednoj od server soba, i kao nisu hteli da pale agregat kao majstor ce brzo taj osigurac vratiti... a UPS je mogao sve da drzi samo 7min. Kraj price pretpostavljate :).