Ti to dobijes tako sto pokrenes na serveru nesto ovako:



Jel?

Nisam bas gledao dublje ali ovo bi trebalo da izlista instalirane pakete i njihove verzije na sistemu, i onda oni iz baze izvuku jel ta verzija odredjenog paketa ranjiva na nesto... ako jeste i ako je dovoljno ozbiljno za to imas otvoren CVE. A da bi zakrpio rupu treba taj paket da updatujes.

Da, sry, nisam instalirao, odnosno jesam, ali da ne ulazim dublje.

Da, kad se okine ta komanda ili kompletna

Dobijem neki link u gridovima ovakav


Da sad mi je jasno.
Bilo mi je cudno jer sam mislio da im je sve up to date.
Ali izgleda sve vezano za ranjivosti jeste za kernel koji nisam nikada updatevao niti razmisljao o njemu.
Koliko je rizicno raditi update kernela, i postoji li neki backup pre toga :)? sad cu da guglam :)

edit:
deluje jednostavno, ako sam razumeo nema nikakvog update, nego mogu da imam vise kernela instalirano, i u grub treba da podesim koji zelim. Pa ako ne valja mogu da vratim na stari. Sjajno :)

_{[Ovu poruku je menjao CoyoteKG dana 07.05.2018. u 21:31 GMT+1]}

Jel da da jeste :D ?

Uradis yum/apt-get/dnf update i on updateuje i kernel... i kad restartujes grub te pita koji da bootuje, a najnoviji stoji kao default :).

E sad mislim da je tu malo zadrndano ako si sam kompajlirao kernel, pa ima nesto custom... ili je stripovan, ili nesto dodato (driver?) onda mi se nekako cini da treba paziti :).

Npr. znam kad sam poslednji put instalirao Gentoo na vmware-u da sam i dalje morao da dodajem neke module/drajvere da bi video disk.

edit:

Btw, znas sta ti je pametno... izoluj server mrezno maksimalno. Da je u DMZ-u samo ono neophodno, 80/443 ako je web server itd, i onda pazis na te "exposed" servise.

Ma da, odavno su mi otvoreni samo 80 i 443. Ostali poput 21, 22 i 3306 su otvoreni samo ka nekoliko IP adresa,
Nego eto htedoh da proverim ranjivosti, i kernel mi dakle nije up to date.

Serveri su hostovani kod Hetznera, dedicated, imam dakle samo remote pristup, pa ono, valjda nemaju neki custom kernel, ili driver.

Imam i ja dedicated kod Hetznera, samo mi je bilo nonsense da ceo hardverski server bude samo za nesto npr. web server... jer nikad necu iskoristiti resurse ni 30%.

Onda sam stavio Debian+XEN i napravio virtualke za svasta nesto. Mislim da je bolje resenje.

Inace to otvoren port "samo za neke" ip adrese isto moze da bude problem, zbog spoofovanja sourceIP-ja.

Imamo stotinjak wordpress sajtova koje smo mi radili, doduse ni za njih nije bitan tako jak server.
Veci je problem bio neki magento 1.9 koji je bio dosta posecen, sa kojim smo imali muke, pa su se jos pre mene odlucili da pojacaju hardware. Doduse odnedavno smo ga izbacili i menjamo ga sa nekim drugim CMS.
Nisam nikad instalirao XEN, ali eto dobre ideje, hvala :).

Kako je oko Public IP adresa za taj server gde vrtis te virtualke? Je l' se to lako dodaje? Znam da Hetzner ima neko ogranicenje, i potreban neki dodatno "Flexi paket" ili tako nesto za dodatne IP.


I, vezano za temu, taj debian sto ti je na toj dedicated, bez problema update kernela i kojecega? Debian si instalirao sa njihovim pripremljenim image? Nema neki custom kernel ili drajvere..?

Bolje resenje ti je sad ESXi.

Public IPjeve narucis, ako/kad dobijes u onom njihovom panelu moras da dodelis novi MAC, pa onda taj MAC dodelis interfejsu virtualke, inace ne radi jer Hetzner ima neka ogranicenja radi bezbednosti na svicevima/ruterima. Bar je tako ranije bilo, nisam radio skorije. Ne znam za taj "flexi" paket.

Debian bez problema update... ali njega ne moras da drzis u DMZ-u. Pristup direktno internetu imaju samo virtualke, jel :).

Debian je njihov... ne moze drugacije.




_{[Ovu poruku je menjao Aleksandar Đokić dana 08.05.2018. u 22:23 GMT+1]}

Stigao mi je skoro mail, kao neki info vezano za MAC adrese i IP, da treba da prekontrolisemo. No nemam ni na jednom serveru vise od jedne IP adrese.


Mozes da instaliras sta god zelis, ne moras da koristis njihove image-ove.


Xen je valjda totalno free. A ESXi koliko sam citao, free verzija je mnogo "ustrojena". Valjda ne moze cak ni incremental backup.




Kako pristupas onda i kontrolises VM? :)

Napisao sam gore, ali si vec odgovorio.

Javna za taj debian je u pocetku normalno bila na eth interfejsu, a xen napravi svoj bridge interfejs (virbr0) u kom se nalaze interfejsi virtualki koje pravis, i onda da bi virtualke imale pristup napolje to je moralo nekako bridgeovati. Onda sam ja uzeo i lepo eth interfejs ubacio u virbr0 bridge, a javnu stavio na njega :). Tako ako virtualkama stavis odgovarajuci mac i javnu sve radi kako treba.

-

Nisam znao da sad mogu da instaliram sta god hocu, probacu.

ESXi inkremental bekap cega ? TI bekapujes virtualke, cPanel ili sta vec - promasena poenta. Besplatni ESXi radi super (za tu namenu).

Inace, razumeo sam na sta mislis... vmware ima bekap API koji se zove (VAAI) koji koriste 3rd party softveri preko vcentra za online bekap.

Ovo poslednje je na tebi, jel?

Sa ovom komandom mi updatuje na zadnji kernel koji je verovatno za tu verziju distroa. Tako da sa tim nisam resio problem.
Probao sam prvo na nekom nebitnom serveru gde mi je Centos 6, i tu sam posle yum update i dalje bio na istoj 2.6 verziji.

Da bih dobio zadnju stable verziju koja je 4.16 u ovom momentu, morao sam da dodam ELRepo Repozitorijum.
Posle toga sa komandom


Nisam znao kako da editujem /etc/grub.conf, pa posle toga da okinem update-grub ili grub-mkconfig, dobijam "command not found" pa sam morao direktno da menjam nad /boot/grub/grub.conf. Koliko sam citao u nekoj knjizi, nije bas najbolje resenje direktno menjati taj fajl :)

Nije zato sto ga prepise sa /etc/default/grub.. tako nesto. Ali ako tamo izmenis sve ok.

A pravilno bi valjda trebalo dodati u /etc/default/grub.d pa tamo imas custom pravila.

Zaboravilo se... ali ako tacno probas napisi :).

Evo ti linije, pa napravi skriptu za Centos 7 :D



Koliko kontam kod grub se edituje direktno conf fajl, a kod grub2 se izgleda koriste neke komande.
Nisam detaljno jos to citao, ali umesto da editujem default de mi bude 0 direktno u conf fajlu, ovde postoji komanda grub2-set-default 0. A nakon toga sa grub2-mkconfig se izmene snime u /bppt/grib2/grub.cfg
Valjda je bezbednije, jer se izmedju ostalog izgleda proveravaju i greske u sintaksi pre nego sto prepise taj conf u boot. Dok ako rucno editujemo, a server remote... eto zaebancije.
Jos mi ovi serveri su dedicated na hetzneru, tek sad sam skontao da nemam iz robota konzolu da mogu da pridjem ako je zaglavio na boot-u.


Sad mi onaj pomenuti Opsani VCTR sa početka teme prijavljuje samo 1 ranjivost. Moraću da vidim kako i to da otklonim. Jer sam okinuo i yum update, i update kernela, ali ovo nesto vezano za dhcp i dalje problem.
Mozda u pitanju, lupam, neka Hetznerova skripta prilikom instalacije tog distroa.

Grub.conf sa edituje posredno preko fajla :
/etc/grub.d/40_custom

Nemam taj fajl na Centos 6
Imam /etc/grub.conf. Nemam ni u /etc/default/ nista vezano za grub

Na centos 6 imas grub 1, podesavanja se vrse editovanjem /boot/grub/menu.lst koji je samo symlink na /boot/grub/grub.conf.

A cemu sluzi /etc/grub.conf ? Isti je kao /boot/grub/grub.conf

vidi da nije symlink.

[offtopic]
Jel te zakacilo ovo:



Mene nazalost :(... koji kraljevi.

[/offtopic]

Nisu, ali vidim juce mi stiglo 10 notifikacija, i nisam video da je status da su resili problem...

Pazi, ti data centri su vezani na dve, ako ne vise trafostanica bas zbog redundatnosti napajanja... da ne pominjem UPSove i agregate.

Sta je trebalo da se desi za ovako nesto?

Pokusavam da izgluglam vise informacija osim na Hetzneru, i ovo je jedini rezultat

http://www.bug.hr/forum/topic/...056&sort=asc&view=flat



A ovde mi je malo hronoloski istumbano da bih skontao sta se desava, a verovatno i ne pricaju kompletnu istinu :)
https://www.hetzner-status.de/en.html

U svakom slucaju ne verujem da je tako jednostavno iako zvuci logicno "sto ne ukljuce agregate" :)

Agregatima treba vreme da se upale... za to vreme oprema radi na UPS-evima.

Ovo tipa opaki pad napona... pa jedna od uloga UPS-eva je to peglanje i filtriranje napona iz mreze. Bas bi bilo lepo neko sa foruma elektronika da pojasni koliko stvarno UPS tu moze da pomogne. Ja sam davno otvarao jedan APC, i znam otprilike cega tu ima, mada verovatno zavisi od modela, plus ovo su enterprise koznakakvi UPS-evi.

Radio sam u firmi gde smo imali ogroman UPS i jos veci agregat.
U momentu kada nestane struje, ukljucuje se agregat, I samo kase, racunare, servere, mreznu opremu smo imali na UPS koji je mogao do 1h pod punim opterecenjem da iznese.
Mada to nikad nije bilo vise od par sekundi jer se agregat ukljuci. Nikad nije bilo problema, a jednom u par meseci su dolazili da nam testiraju UPS.

Moj prvi dan obuke u sličnoj firmi sa ogromnim UPS-om i agregatom: distribucija javila da će zbog radova isključiti napajanje na 4 sata, kada je došao taj trenutak UPS preuzeo na sebe napajanje, agregat krenuo da se pali i tajac... Posle nekoliko neuspešnih pokušaja paljenja agregata, na kraju smo posle nekih sat vremena izgasili sve računare i servere i čekali da distribucija završi posao, a onda su uveli obavezu periodičnog testiranja agregata u svim objektima...

Ha to je apsolutno najgori scenario.

I ja sam radio po ovim nasim provajderima gde je bilo testiranja agregata jednom nedeljno.

Jednom se desilo da je izbacio bio neki glavni osigurac i nestalo struje u jednoj od server soba, i kao nisu hteli da pale agregat kao majstor ce brzo taj osigurac vratiti... a UPS je mogao sve da drzi samo 7min. Kraj price pretpostavljate :).