NonRealDeveloper Blog

Криптоанархизм

Wed, 27 Jul 2011 16:08:00 +0400

1. твой ПК
2-4. твои соседи
5. внутренняя домашняя сеть твоего соседа 4
6. коммутатор
7. сервер провайдера
8,10,12. промежуточные сервера (ящики) фсб
9. сервер магистрального провайдера
11. вышестоящий сервер
[конструкция 11-12 может повторяться бесконечно, до точки назначения]
13. центральный сервер фсб
14. отделение полиции
15. сервер точки назначения
16. дополнительные запросы на сервера социальных сервисов
(видео с youtube/голосования/виджеты/twitter/iframe/счетчики/прочее)
17. базы данных социальных сервисов
18. сервера обновления программного обеспечения
19. сервера сторонних сервисов твоего браузера (яндекс-бар)

Красная сплошная линия - путь пакетов от тебя до сервера сайта на который ты зашёл.

Ты и твои соседи можете прослушивать друг у друга не кодированный трафик, потому что благодаря широковещательной рассылке все сетевые карты внутри VPN будут принимать пакеты друг друга и отвечать по возможности.

Доступ к прослушке пакетов внутренней сети твоего соседа будет уже сложнее получить, но тоже возможно.

Зачем обеспечивать свою защиту? - А тебе разве приятно если кто-то может спокойно читать твою почту, есть из твоей тарелки, ходить в обуви по твоей квартире? С кем ты встречаешься, кого ненавидишь, что скрываешь и какие ресурсы ты посещаешь, все твои пасспортные данные, всю твою жизнь можно зачерпнуть за считанные секунды. Ты ведь не знаете что ждёт тебя завтра? В полиции знают о тебе больше чем ты и твоя мама. Отказаться от социальных сервисов практически невозможно, ведь практически все твои друзья/коллеги и прочие давно сидят там и получают от этого удовольствие, а ты - отказавшийся от всего этого, становишься в своём роде “изгоем”. И просто взять и отрезать социальный интернет из своей жизни - не выход. Но мы то знаем что выход есть всегда. Социальные сети, различные корпорации и спецслужбы наращивают свои силы с каждым днём - масштабы их влияния уже катастрофичны, например, благодаря вставке youtube-видео вконтакте - гугл (он же владелец youtube) теперь знает ваш аккаунт, чем непременно воспользовался и уже давно выкачал все аккаунты оттуда. Google и Yandex активно анализируют каждый ваш клик мышкой по экрану, что вам нужно от интернета, и главное - что можно вам продать через внедряемую на сайты рекламу.

Что ты можешь сделать уже сейчас:

1. Постарайся не регистрироваться в социальных сервисах, если ты этого еще не сделал. Удаление уже существующего аккаунта тебе не поможет - все данные намертво сохранились на неведомых жестких дисках.

2. Не заводи статический ip-адрес.

3. Вбей в поиск ICQ СВОЙ_ICQ (например ICQ 123456789) и проанализируй информацию выданную поисковой системой о тебе. Постарайся удалить/затереть/сокрыть доступную тебе для изменения информацию и больше так не делай.

4. Проделай аналогичную процедуру с номером своего телефона в разных форматах (+7 ХХХ ХХХХ, 7ХХХХХХХ, 8ХХХХХХХ, 8 ХХХ ХХ ХХ, +7 ХХХ ХХ-ХХ…), ящиком email, skype, фио и там что еще в голову придет…

5. Не пренебрегай SSL/TLS и другими защитными протоколами, а также шифрованием потока внутри VPN-сетей.

6. Не устанавливай в браузер и операционную систему никакие гаджеты/виджеты и прочую ерунду.

7. Ничего бесплатного не бывает - за всем стоит какая-либо выгода! Ты должен всегда это знать и сто раз подумать прежде чем поставить себе на рабочий стол этот замечательный гаджет с погодой от яндекс.

И всегда помни - законы математики сильнее человеческих законов!

Генератор темы для разговора

Thu, 07 Jul 2011 02:56:52 +0400

Бывает ли у вас такое, что вы не знаете о чем можно начать разговор, но горите желаением пообщаться с человеком? Наткнулся сегодня на такой вот интересный сервис, алгоритм весьма прост, а дизайн с телефона радует глаз, и еще больше радует что jquery mobile таки начинает продвигаться вперёд.

http://conversation.servebeer.com/

Jabber-атаки при помощи jappix

Fri, 01 Jul 2011 13:57:00 +0400

Написать сценарий, который будет досить jabber-конференции используя jappix, довольно просто, весь алгоритм укладывается в бесконечных запросах на

jappix.com/?r=АДРЕС_КОНФЕРЕНЦИИ&n=РАНДОМНЫЙ_НИК

Спасёт: капча на конференции

Новый пост

Fri, 01 Jul 2011 13:30:48 +0400

Давненько я не постил ничего интересного, попросту небыло времени, вчера наткнулся на интересный сервис от рег.ру - освобожденные домены с PR и ТиЦ, кому интересно ссылка в посте

Очередной убитый хостинг

Fri, 06 May 2011 22:29:00 +0400

Казнь ЭЛИТНОГО хостинга

После регистрации ожидаем активацию аккаунта

Информация о сайте:

Статус: Заблокирован
Сайт: mars.2gb.su
Квота: 2Gb

Причина:
4. Клиент обязан указать подробное описание своего проекта,в противном случае акаунт блокируется за неинформативное описание.

ну и говно, ладно создадим сайт в поддержку православной церкви…

Информация о сайте:

Статус: На проверке
Сайт: russian-pravoslavie.2gb.su
Квота: 2Gb

Вы успешно зарегистрировали свой сайт.
Логин: pravoslavny
Пароль: ololo
Адрес сайта: http://russian-pravoslavie.2gb.su

и теперь приступаем к децентрализации

Not Found

The requested URL /manager/ispmgr was not found on this server.

Apache/2.2.3 (CentOS) Server at hostfree.su Port 443

Прозреваю лютую ярость админа :)

Разработка под iphone

Thu, 28 Apr 2011 22:26:00 +0400

Сейчас доделываю свой сайт мобильной музыки, задался вопросом подогнать под айфон и айпад свой сайт. Узнал нечто новое для себя:

Чтобы получить iphone SDK вы должны быть зарегистрированным Apple-Developer'ом, для этого вы должны пройти нудную процедуру регистрации и после чего вам предложат КУПИТЬ то что вы собирались СКАЧАТЬ. Такой подход к разработчикам отпугнёт практически любого…
Iphone Emulator предоставляется только пользователям Mac, вендузятники же, на пару с линуксоидами отдыхают :)
Эмуляторы отображения сайтов в iphone на других ОС, в основном, сводятся к тому, что используют движок IE, который на ура обрабатывает сайты по своему и никакой эмуляцией safari там и не пахнет.

В итоге ограничился тем, что добавил два метатега в шапку:

Первый как бы говорит айфону: не надо химичить над сайтом он и так мобильный, второй же показывает айфону на крупную иконку для создания закладки, она должна быть квадратная, размером 57х57 и в формате png

Часто-используемые алгоритмы хеша паролей

Sun, 24 Apr 2011 01:14:00 +0400

Для тех кто не получил доступ к скрипту но получил доступ к БД:

md5(password) - самый примитивный
md5(md5(password)) - второе по популярности
md5(md5(md5(password))) - экзотика
md5(password.salt) - часто используется интеллигентами
md5(password.password) - тоже экзотика, но встречается
md5(password.password.password) - всякое бывает))
всё то же самое, но с sha1 или crypt - будет не намного труднее, определяется по внешнему виду, иногда может быть так: md5(crypt(password)) - встречал такую конструкцию (или даже sha1(md5(crypt($pass))))

Как бороться с солью пока ещё не придумал, если додумаюсь ждите поста

update: нашёл программный способ - гуглите прогу PasswordsPro

Мой лог взлома паролей одного хостера

Sat, 23 Apr 2011 20:41:00 +0400

залил свой хитрый perl-скрипт на аккаунт у хостера (подробнее тут)
получил содержимое /etc/passwd и нашел там интересный логин admin
прочитал на аккаунте хостера файл settings.php и взял оттуда рутовый пароль к бд (третья ошибка хостера)
нехитрым способом вбил логин и пароль в phpmyadmin и нашел таблицу пользователей
в таблице, в колонке паролей были хеши паролей юзеров от “движка” сайта хостера, сайт был соединен самописными скриптами с биллинг-панелью и directadmin'ом
первым делом я выкачал хеши и email, и стал исследовать глубину хеширования (да да, меня не одуришь двойным md5)
при помощи perl я считал содержимое файла регистрации - результатом стало то, что я нашел алгоритм “усложнения” пароля путем его удваивания
результат был успешен - md5(парольпароль) давало тот самый хеш, который был записан для моего пароля в базу, но зная алгоритм я ничего не мог поделать с паролями :(

после стакана хорошего апельсинового фреша я наговнокодил простенький брут

$hashes = file_get_contents('dump.sql');
foreach(file('dictionary.txt') as $password) {
  if (preg_match('/'.md5($password.$password).'/', $hashes)) {
    echo "$password match in ".md5($password.$password)."\n";
  }
}

потребовалось пара часов чтобы взломать 4 аккаунта, этого мне в принципе было достаточно но с ними я так ничего и не сделал, ломал ради интереса

jQuery Mobile

Wed, 20 Apr 2011 14:12:57 +0400

Мир на месте не стоит, jquery вот уже много лет зарекомендовал себя как лучший javascript-фреймворк. Сегодня наткнулся вот на такой вот форк jquery для мобильных телефонов:

Сайт: http://jquerymobile.com/

Detect Mobile Browser

Wed, 20 Apr 2011 13:58:00 +0400

Простой набор регулярок и различных решений по определению мобильных устройств для 15 языков программирования

Link: Detect Mobile Browser - Open source mobile phone detection

Sphinx - принцип работы для чайников

Wed, 20 Apr 2011 03:08:00 +0400

Sphinx - мощный бесплатный поисковый движок, включающий в себя драйвера для разных субд, морфологию, стемминг, саундекс, быструю работу через индексацию и многое другое…

Установка sphinx по официальному мануалу не вызовет ни у кого затруднений, примитивные команды для консоли, за исключением того что sphinx может установиться не в /usr/local/sphinx а просто в /usr/local - в этом нет ничего страшного.

В /usr/local/etc/ (/sphinx/etc) вы найдете два примера файла конфигурации, внимательно изучите первый и установите за основу второй (минимальный) -

cp /usr/local/etc/sphinx-min.conf.dist /usr/local/sphinx.conf

Обратите внимание: в minimal в дефолтном индексе параметр morphology отсутствует, я лично только из-за морфологии сфинкс и использую, ну собственно кому как :)

morphology stem_enru, soundex

Основной принцип работы сфинкса - в результате поиска он не вернет вам текст или документ, а просто вернет вам id и некоторые доп. поля (указываются в настройках, например date_added из стандартного примера)

После получения всех ids делайте запрос в бд с использованием WHERE id IN (значения)

API и примеры для разных языков вы найдете в папке еще не установленного сфинкса (в распакованном архиве, в папке api)

Пример реального использования sphinx мною в торрент-трекере:

require '/u01/sphinx/sphinx/api/sphinxapi.php';
$search = trim(substr(htmlspecialchars($_POST['nm']), 0, 100));
$sphinx = new SphinxClient;
$sphinx->SetArrayResult(true);
$sphinx->SetConnectTimeout(1);
$sphinx->SetWeights(array(100,1));
$sphinx->SetMatchMode(0);
$sphinx->SetLimits(0, 100, (100>1000)?100:1000);
$sphinx->SetRankingMode(0);
$res = $sphinx->Query($search, 'topicsfast');

if (($res) and (isset($res['matches'])) and (is_array($res['matches'])))
{
	$items_count = count($res['matches']);
	$ids_founded = array();
	foreach ($res['matches'] as $match) {
		$ids_founded[] = $match['id'];
	}
	
	$sql = "SELECT t.topic_id, f.forum_id, f.forum_name, t.topic_replies, 
	t.topic_title, u.user_id, u.username, t.topic_last_post_id,
	t.topic_last_post_time as dt, l.user_id as luid, l.username as lunm
	FROM bb_topics t
	JOIN bb_forums f
	ON t.forum_id = f.forum_id
	JOIN bb_users u
	ON t.topic_poster = u.user_id
	JOIN bb_posts p
	ON t.topic_last_post_id = p.post_id
	JOIN bb_users l
	ON p.poster_id = l.user_id
	WHERE t.topic_id IN (".implode(',', $ids_founded).")";
	
	$result = $db->sql_query($sql) OR bb_die('sql error');
}

Это лишь отрывок кода, о красоте кода тут речи не идет, главное чтобы всё работало

.htaccess tester

Wed, 20 Apr 2011 02:48:00 +0400

.htaccess tester:

Неплохой тестер для мод реврайтов

Создание статического поддомена при помощи nginx

Sun, 17 Apr 2011 01:12:00 +0400

server {

    listen		80;
    server_name	static.site.ru;
    add_header    	Vary Accept-Encoding;
    gzip             on;
    gzip_min_length  500;
    gzip_proxied     expired no-cache no-store auth;
    gzip_types       text/css application/x-javascript;
    gzip_disable     "MSIE [1-6]\.";
    gzip_vary 	on;

    location / {
        deny all;
    }

    location ~* ^.+\.(jpe?g|gif|css|js|swf|ico|png)$ {
        root /home/user/www/site.ru/static;
        access_log   off;
        expires      30d;
    }
}

Online RegExr

Sat, 16 Apr 2011 02:03:00 +0400

Online RegExr:

Nice tool for regular expression testing

Первичное знакомство и настройка VDS

Fri, 08 Apr 2011 01:55:00 +0400

Попытаюсь в этом сообщении передать часть своего опыта по работе с VDS маломощных конфигураций.

И так сразу к делу - вы решили брать VDS, но у вас ещё нету опыта по настройке и эксплуатации выделенного сервера (пускай даже виртуального).

С самого начала перед вами предстоит выбор где брать, почем и какой конфигурации. Для того чтобы определится, какая конфигурация вам нужна, прикиньте примерно занятую оперативную память:

mysql - не менее 40 мб
apache2 - не менее 30 мб
сама система - не менее 10 мб

В любом случае вы наверняка сможете в будущем улучшить ваш тарифный план если нагрузка будет слишком сильна. Если вы будете ставить ROR то будьте готовы к минимум 100 мб дополнительно занятой оперативы. Не советую вам брать слишком слабые сервера. На нормальном сервере для комфортной работы надо не менее 400 mhz процессора, и не менее 256 мб оперативной памяти. В зависимости от сложности проекта вероятно вы сможете обойтись и 128 мб оперативы, но лучше подстраховаться и взять побольше. К тому же если хостер предлагает вам такой слабый тариф (128 мб RAM) то наверняка на сервере находится много нод и он будет неприятельски поглюкивать. При выборе хостера обратите внимание на его репутацию, проверьте аттестаты вебмани и лицензии на телекоммуникационные услуги или свидетельство о регистрации, также проверьте отзывы в интернете и спросите опытных людей. Обратите внимание на такие параметры как тип виртуализации (самый распространенный сейчас это OpenVZ), количество ядер в процессоре на самом физическом сервере (чем больше ядер - тем лучше он будет работать с виртуальными нодами) и список доступных для установки операционных систем. Также стоит уделить внимание местоположению сервера и размеру канала отдачи. Пропингуйте сайт хостера или демо-сервера, если таковой имеется (в командной строке напишите ping megaserverhoster.ru). Очень отлично будет если хостер предоставит вам возможность скачать с сервера файл, таким образом вы сможете определить достоинство канала отдачи, если конечно у вас нормальная скорость интернета :)

Перейдём к выбору операционной системы. Должен заметить что все серверные операционные системы как правило линуксоподобные и ставить Windows на сервер вам никто не будет (за исключением VIP-серверов для богатых толстосумов). Поэтому, если вы еще не знакомы с linux, советую поставить себе на компьютер (или на виртуальную машину) линуксовую юзерфрендли-ось. К таким в первую очередь относится Ubuntu (есть также Suse, Kubuntu, Xubuntu, Edubuntu, Mandriva и др.) и если вы еще даже не представляете себе что это такое то лучше начать всё же с Ubuntu, так как она более близка к Debian, а это основная серверная ось. Погуглите по интернету, для ubuntu есть много обучающих сайтов и различных форумов для решения проблем. Научитесь работать в командой строке (shell) и заучите хотя бы парочку основных команд (pwd, cd, rm, ls, chmod и тп). И так, для установки на сервер как правило предлагают следующие ОС: CentOS (второе место по популярности), Debian (очень дружелюбная и самая популярная), Ubuntu (для особых фанатиков, но критически не рекомендую ставить её в качестве серверной оси), Fedora (не могу сказать про неё ничего плохого так как опыта работы с ней не имел), Suse (под неё желательно мощный сервер - в противном случае ждите тормозов) и FreeBSD (это не совсем линукс, но нечто подобное. Система очень глубокая и на её изучение у вас могут уйти годы. Не удивляйтесь потом что у вас вырастет борода и пропадёт зрение. Новичкам не рекомендую). Я рекомендую Debian так как он не требователен к ресурсам и как правило не содержит в себе ничего лишнего в отличии от той же убунты. Перед окончательным выбором рекомендую вам ознакомится с версиями Debian'a, сейчас он поставляется как правило в следующих дистрибутивах:

Этч (Etch) - устаревшая версия, не имеющая больше поддержки. Ставить критически не рекомендую
Ленни (Lenny) - поддержка закончится в феврале 2012, ставить не рекомендую так как статус дистрибутива уже oldstable
Сквиз (Squeeze) - пока самая стабильная версия
Уизи (Wheezy) - ещё не вышла :)

После выбора дистрибутива выбираем разрядность. Как правило все берут 64-битную ось, так как она относительно более стабильна в отношении запущенных приложений и тяжёлых нагрузок. Но если у вас очень мало оперативной памяти то всё же лучше будет выбрать 32-битную версию. Во всяком случае решать вам - (256 мб RAM стоит 64 битка полёт нормальный).

Если вы будете прикреплять домены в зонах com.ru, org.ru, net.ru и pp.ru то вам потребуется 2 ip адреса в разных сетях класса C (A.B.C.D), в противном случае вы спокойно обойдётесь одним IP-адресом.

По поводу панелей: если вы делаете хостинг то конечно вам лучше будет поставить панель управления (и еще заранее поинтересуйтесь системными требованиями это панели, для CPANEL предпочтительнее будет поставить ос CentOS). Но если вы берёте сервер чисто для себя, то ничего ставить не нужно - это только добавит вам проблем. Очень хорошо если вам выделят VDSManager или панель управления питанием, которые позволят вам проводить манипуляции с сервером на уровне холодных перезагрузок. Сразу скажу что если ваш сервер будет многопользовательский (хостинг), то вам придется сильно попарится с настройкой безопасности. О том, что делаю лично я постараюсь изложить в краткости (если вы хостинг делать не собираетесь просто не читайте эти пункты):

Ограничить php в возможностях (system, exec, shell_exec и тп нужно отключить в php.ini). Хочу заметить что ограничение php по возможностям профессиональному хакеру не будет преградой, не стоит основывать безопасность на настройках php…
Проверить грамотно ли расставлены права на директории пользователей и бинарные файлы, лучше запретить доступ группе пользователей к perl и python (если вы не в состоянии их грамотно настроить).
Если вы предоставляете доступ SSH то уделите внимание созданию SSH-песочницы, как её сделать я описал тут.
Если вы отключите SSH и обрубите всё опасное - хакер может воспользоваться Cron-интерфейсом в вашей панели управления! Вам стоит поинтересоваться что представляют из себя форк-бомбы, эксплоиты, шелы, процессы-зомби, дефейсы, руткиты и симлинки.

Управление сервером рекомендую осуществлять по SSH, если вы ещё незнаете что это такое, то в кратце я скажу вам, что это удалённый доступ к командной строке сервера (Server Shell). Короче доступ к терминалу вашего сервера с вашего компа. SFTP - встроенный в OpenSSH FTP-сервер. В отличии от обычного ftp, sftp имеет ряд преимуществ. В первую очередь это безопасность передачи и приёма информации, и плюс осуществление многих неосуществимых для простого фтп операций, таких как удаление папки с вложенными файлами целиком (ftp будет удалять каждый файл по отдельности, а sftp просто убьёт папку командой rm -r -f). Рекомендую также присмотрется к SCP, о нём я растолкую позже.

Установите себе следующие программы: WinSCP и Putty. Первая - хороший sftp-клиент под Windows, вторая - хороший ssh-клиент под Windows. Вместе они идеально сочетаются. Установите их в одну папку - тогда WinSCP получит возможность открывать текущую сессию в putty. WinSCP также умеет хранить пароли, что примечательно для удобства (но злоупотреблять не следует, особенно если вы не обеспечили должную безопасность собственного ПК). Ещё WinSCP умеет редактировать файлы, что очень удобно и освобождает от использования геморных nano/vi и тп.

WinSCP - единственный нормальный scp-клиент под Windows. SCP - это усовершенствованная модель протокола sftp, которая открывает и ssh и sftp разом (в одном бинарнике), и пользуется их возможностями одновременно, компенсируя одно другим. Скорость передачи данных будет чуть медленнее чем по SFTP, это связанно с тем, что копирование происходит по RCP, однако стоит заметить что работа с файлами будет значительно быстрее.

И так вы установили ОС, установили необходимый софт для управления и теперь вы готовы к работе с сервером. Основные утилиты работы с пакетами на Debian:

apt-get - служит для установки и удаления пакетов, этот пакетный менеджер стоит по умолчанию, рекомендую дополнить его aptitude. Чтобы установить пакет apt-get install название, например apt-get install aptitude. Чтобы удалить пакет apt-get remove название
aptitude - дополнительный пакетный менеджер, который не входит по умолчанию в ваш дистрибутив, установите его одним из первых
apt-cache - программа для проверки локального кеша пакетов. К примеру командой apt-cache policy название вы выведите информацию об установленной версии пакета, и доступных его версиях из текущих активных репозиториев.

Пример использования команды apt-cache policy php5-curl:

apt-cache policy php5-curl
php5-curl:
  Installed: (none)
  Candidate: 5.2.6.dfsg.1-1+lenny8
  Version table:
     5.2.6.dfsg.1-1+lenny8 0
        500 http://security.debian.org lenny/updates/main Packages
     5.2.6.dfsg.1-1+lenny4 0
        500 ftp://mir1.ovh.net lenny/main Packages

Разобрались с пакетами? Теперь нужно установить необходимые вам утилиты и серверные приложения. Возможно вам потребуется изменить ваши репозитории для поиска и скачивания пакетов. Пути поиска пакетов прописаны в файле /etc/apt/sources.list

Пример файла на Debian Lenny:

deb http://ftp.debian.org/debian lenny main contrib non-free
deb http://ftp.debian.org/debian-volatile lenny/volatile main contrib non-free
deb http://ftp.debian.org/debian-security lenny/updates main contrib non-free
deb http://php53.dotdeb.org oldstable all
deb-src http://php53.dotdeb.org oldstable all
deb http://mirror.yandex.ru/backports.org/ lenny-backports main contrib non-free
deb http://packages.dotdeb.org oldstable all
deb-src http://packages.dotdeb.org oldstable

Если вы незнаете где взять хорошие репозитории для вашей ОС с новыми версиями пакетов - поищите их в гугле.

Вот некоторые относительно новые версии пакетов:

nginx - 0.7+
apache - 2.2.9+
php - 5.2.17+ или 5.3.5+
mysql - 5+
phpmyadmin - 3.3.9+

Проверьте установленную версию пакета у вас (apt-cache policy писал выше), и если потребуется переустановите её обновив репозиторий. Чтобы обновить репозиторий пропишите apt-get update или aptitude update сразу после редактирования файла sources.list

Советую установить следующие утилиты: htop и mc. Первая показывает графически степень нагрузки на CPU, SWAP (файл подкачки, на OpenVZ как правило отсутствует) и RAM - что-то вроде “диспетчера задач”

Вторая (mc) представляет из себя графический файловый менеджер на подобии FAR

После этого вам будет легче управлять сервером (mc) и определять какой процесс загружает память (htop).

Всё готово, ставим или обновляем уже установленные пакеты php, apache, nginx, phpmyadmin, mysql-server (какие вам потребуются вообщем) и так далее

Как прикрепить домен к серверу?

Добавляем в файл /etc/apache2/sites-available/default
<VirtualHost *:80>
DocumentRoot /home/myuser/www/mysite.net
ServerName mysite.net
ServerAlias www.mysite.net
</VirtualHost>

DocumentRoot - путь к сайту
ServerName - домен
ServerAlias - алиасы для домена

Nginx - хороший сервер для слабомощной VDS, так же он способен кешировать и работать со статикой, с чем у апача проблемы.

Как установить nginx поверх apache в debian?

устанавливаем apache (если еще не установлен)
устанавливаем nginx (обязательно обратите внимание на версию, линейка 0.6 уже древняя как говно мамонта)
редактируем /etc/apache2/ports.conf (если этого файла нету ищите эти настройки в других файлах конфигурации апача, вместо 8080 можно любой другой незанятый порт использовать, к примеру я использую 800)

NameVirtualHost *:8080
Listen 8080
Теперь редактируем /etc/apache2/sites-available/default, меняем все порты *:80 на порты *:8080
пишем команду /etc/init.d/apache2 restart
пишем команду /etc/init.d/nginx start
переходим на http://ваш_ip/ и видим Welcome To Nginx! При переходе на http://ваш_ip:8080 выдаст дефолтную страничку апача. Если всё так - то этот шаг вы выполнили на отлично, продолжаем настройку, теперь мы будем работать с каталогом /etc/nginx/
создаём файл /etc/nginx/proxy.conf с содержимым:

proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
теперь редактируем файл /etc/nginx/nginx.conf

user www-data;
worker_processes 1;

error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include /etc/nginx/mime.types;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/nginx_error.log debug;
sendfile on;
keepalive_timeout 65;
tcp_nodelay on;
client_max_body_size 400m;
gzip on;
gzip_disable “MSIE [1-6].(?!.*SV1)”;
gzip_types text/plain text/html text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
www-data это юзер по дефолту, наверняка у вас он будет называться так же, если у вас нету проблем с английским языком вы поймёте какая настройка за что отвечает
создаём файл /etc/nginx/sites-available/apache

upstream backend {
server 127.0.0.1:8080;
}

server {
listen 80;
server_name 85.10.251.215 mysite.net www.mysite.net blog.mysite.net mysite2.com;

location / {
proxy_pass http://backend;
include /etc/nginx/proxy.conf;
}
}
как вы заметили выше в строке server_name нужно прописать все ваши прикрепленные домены, в т.ч. ip (по желанию)
выполняем команды:
cd /etc/nginx/sites-enabled
ln ../sites-available/apache apache
/etc/init.d/nginx restart
если вы всё правильно сделали и я нигде не ошибся, то всё готово - теперь ваш апач стал полноценным backend для nginx :)

Теперь перейдём к оптимизации

На слабом сервере под оптимизацией понимается “уменьшение количества занятой оперативы так чтобы всё работало” :)

Обычно установщики VDS не очень заботятся про занятую оперативу и бывает что после установки занято к примеру 190 из 256 мб при незапущенных процессах (простое системы). Такой подход конечно нам не нужен, и мы начинаем оптимизацию…

Первым делом надо определить что-же всё таки грузит нашу бедную вдску. Запускаем htop и делаем сортировку по MEM% (после захода в htop нажмите F6 и выберите в левом вертикальном столбце поле MEM%)

Как правило, на первом месте оказываются mysqld (MySQL Daemon) и /usr/sbin/apache2, остальные экзотические процессы жрущие более 6% оперативы (при 256 мб) стоит убить (если конечно вы их не запускали и они вам не нужны)

Часто после установки apache включает в себя все модули тем самым засирая как можно больше оперативы. Отключите ненужные вам модули (по типу mod_perl). Для включения модулей apache используется команда a2enmod, для отключения используется - a2dismod.

a2dismod mod_perl

После включения/отключения обязательно переконфигурируйте и перезагрузите апач

/etc/init.d/apache2 reload
/etc/init.d/apache2 restart

теперь отредактируйте файл конфигурации /etc/apache2/apache2.conf, строки отвечающие за оптимизацию:

# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_prefork_module>
StartServers 1
MinSpareServers 1
MaxSpareServers 5
MaxClients 10
MaxRequestsPerChild 300
</IfModule>

# worker MPM
# StartServers: initial number of server processes to start
# MaxClients: maximum number of simultaneous client connections
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_worker_module>
StartServers 1
MaxClients 10
MinSpareThreads 1
MaxSpareThreads 4
ThreadsPerChild 25
MaxRequestsPerChild 300
</IfModule>

Можете поставить у себя также как и в примере, по дефолту они у вас будут стоять по другому, про тонкую настройку апача на русском языке рекомендую посмотреть сюда, и не забудьте переконфигурировать и перезапустить апач

Теперь что касается mysql - решите сначала нужен ли вам innodb, и сможете ли вы обойтись myisam (innodb может жрать по ~70 мб оперативы сам по себе, а то и больше)

выполните команду:
cp /usr/share/doc/mysql-server-5.0/examples/my-small.cnf /etc/mysql/my.cnf

теперь редактируйте файл /etc/mysql/my.cnf

в графе [mysqld] найдите текст #skip-bdb и замените его на skip-bdb (раскомментирование)

ниже добавьте skip-innodb (по желанию)

готово! сохраните файл и перезагружайте mysql

/etc/init.d/mysql restart

теперь зайдите в htop и убедитесь что кол-во занятой оперативной памяти значительно уменьшилось

Как сделать SSH на своём хостинге с ограниченным набором команд

Mon, 25 Jan 2010 03:54:00 +0300

Пример можно найти тут

Создаем директорию с разрешенными командами:

mkdir /restricted_bin

в нее делаем симлинки с разрешенными командами:

ln -s /bin/ls /restricted_bin
ln -s /bin/cat /restricted_bin
… и т.д.

Дальше заставляем SSH запустить при логине юзера bash в resticted режиме. Добавляем в конец /etc/ssh/sshd_config:

Match User НУЖНЫЙЮЗЕРНЭЙМ
ForceCommand PATH=/restricted_bin /bin/bash -r

Рестартуем sshd.
Готово! Юзернэйм не сможет выполнять команд, кроме тех, что в /restricted_bin или встроенны в баш типа pwd. Также не сможет вызвать команды из своего /home или с прямым указанием пути типа /usr/bin/mc,
и прочие вкусности (если интересно - вкусности в главе RESTRICTED SHELL из man bash).

Примечание: ни в коем случае нельзя добавлять в /restricted_bin команд mc или vi, так как они способны запускать свой собственный, полноценный, шелл.

И еще вот мой приблизительный список относительно безопасных команд, которые вроде бы можно разрешить (некоторые тут из самого баша, т.е. уже разрешены, смотрите сами, я навскидку написал):

ls
cp
mv
du
cat
less
echo
grep
man
clear
date
cal
whois
curl
exit
host
pwd
rm
php
chmod
cd
tail
touch
mkdir
rmdir
tar
iconv
mysql

Опасность PERL на криво настроенных правах

Wed, 20 Jan 2010 03:44:00 +0300

И так, если права на директориях юзеров у вас не 700 и доступен запуск perl-скриптов (а это может быть как прямой запуск, так и через cron/ssh) хакер поступит следующим образом:

1. получит через cron список пользователей cat /etc/passwd > users.txt

2. создаст perl-скрипт подобный этому:

#!/usr/bin/perl
open (f, “</home/megauser/public_html/index.php”);
while (<f>)
{
print;
}
close f;

3. запустит скрипт либо напрямую site.ru/cgi-bin/test.pl
либо через cron perl test.pl > public_html/result.txt

На данный момент большое количество хостингов подвержены этой уязвимости. Быт их админов строится на том, что они безопасно настроили свой php, забыв при этом про всё остальное что есть на их хостинге…

Обманываем pc-программы, использующие удалённые API для авторизаций

Wed, 20 Jan 2010 03:44:00 +0300

Для этого нам понадобится:
1. Снифер
2. Веб сервер на локалхосте (под винду - денвер, xampp или просто apache)
3. Прямые руки

Сначала запускаем снифер и снифаем все запросы касающиеся авторизации, затем создаем на локалхосте точно такой же скрипт, который всегда будет возвращать “верный ответ”. Теперь редактируем hosts и выставляем в него (если допустим идёт обращение к api.megasite.net)

127.0.0.1 api.megasite.net

Запускаем сервер и запускаем прогу…