Ahoj všem,
právě jsem na našich VPS dokončil skenování na zranitelnost
Heartbleed, tedy známou díru v OpenSSL, která umožňuje vyčítat data z
paměti procesu. Popis tady:
http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/
Stručné shrnutí:
Celkem VPS: 737
Otevřený port HTTPS: 389
Zranitelných: 65
Znamená to, že každá desátá VPS trpí zmíněnou hrozbou. Prosím,
aktualizujte si systém. Bylo demonstrováno, že se přes tuto zranitelnost
dají vyčíst privátní klíče k SSL spojení.
Pro jednoduchost jsem skenoval jen port 443, totéž by bylo možné provést
třeba i proti IMAP4S a POP3S. Ale teď nám jde o zachycení první vlny
hříšníků.
Zítra Aither rozešle adresné maily provozovatelům těch 65 VPS. Pokud
jste v posledním týdnu neaktualizovali, máte černý puntík a jděte to
hned napravit. Díky
--
Petr Krčmář
vpsFree.cz
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Caute,
jenom kratka informace o novych serverech v Praze, node9 a node10 jsou
nainstalovane a plne funkcni (tomu predchazelo prejmenovani puvodnich
node8/9 o cislo niz, protoze jsme tam meli diru), node9 uz je v
provozu par dni, node10 prisel na radu az ted.
Hardwarove jde o standardni masinu ala "Brno", tzn. 2x usporne 6jadro,
256G RAM, 8 disku, 2 SSD, 2U form factor.
- --
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlNJ9XQACgkQMBKdi9lkZ6qefwD/eR9LqKNR4TrnMSnW8Dg9vmlg
J9weNIWbhdIurIeI64IBANNxsjJlFUpIGPeFyctlUV/2elD7oKRuo1jb0/lg3PwW
=WaVC
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte,
v nasledujicich dnech mam v planu zbavit konecne vpsFree EXT4
filesystemu pro ukladani dat VPS. Uz jsme si s nim vytrpeli svoje -
rsync na neustale kynoucich VPS zacina bejt neunosny.
S tim souvisi, ze z node8, node2 a node*.pgnd musim odsouvat VPS na
takove, ktere maji uz ZFS.
Migraci musim volit "off-line", tzn. VPS se to projevi jako
stop-downtime-start.
Ten restart zavisi tedka na vice vecech, podle toho, co delame - ale
pokud jde zrovna o migraci, tak ta probiha nasledovne:
1. pre-sync za behu
2. stop VPS na originalnim nodu
3. finalni sync zmen co se stihly udelat za behu pred stopem
4. start VPS na novem nodu
Misto 2+4 se da pouzit suspend/resume, ale VPS nesmi mit "enabled
features" ve vpsAdminu (VPS s NFS/NFSd vevnitr neni migrovatelna, neda
se dumpnout ten context NFS+RPC) - rikame tomu online migrace (i kdyz
je tam chvilicku downtime, ale ta VPS neztrati kontext). Nicmene jak
rikam, potencialne jsou tam problemy napr. pri prechodu mezi verzemi
jadra - ktere se teda snazim drzet konzistentni v celem clusteru, ale
zatim se to jeste nedari a proto online migraci radeji nepouzivame. Ta
nekompatibilita se totiz projevi az po suspendu pri pokusu o resume,
coz znamena, ze pak ten dump muzu zahodit a pro VPS je to, jak kdyby
ji nekdo vytrhl ze zasuvky, coz je min libiva varianta, nez clean
shutdown.
Dokud ted pouzivame rsync misto posilani snapshotu filesystemu pres
ZFS, je to pomalejsi, obzvlast, kdyz mas ve VPS cca nad 0.5M souboru,
pak uz se to pozna. Pak muze bejt downtime peknejch par minut pri tom
bodu 3.
Ale jakmile se konecne zbavime tech po***** nodu s ext4, tak to pujde
mnohem rychleji - ZFS send/recv nezajima, kolik je to souboru, nejsou
to metadata operace, je to proste serializovany stream bloku
filesystemu. Pak se dostaneme prave na ty rady desitek sekund downtime
max.
Nicmene tohle se nedeje moc casto, ty skatulata-batulata se dejou ted
prave proto, ze zbavuju vpsFree nodu s ext4 - aka. musi byt nejdriv
hur, aby mohlo byt lip :(
+ omluva vsem na node8:
omylem jsem blbec nedomyslel side-effects pkill -f tar, coz s sebou
vzalo i procesy typu:
/usr/sbin/apache2 -k start
Za to se vazne omlouvam, skolacka chyba, co by se dit nemela.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
- --
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlNH25wACgkQMBKdi9lkZ6pOqgEAkh6l0agCtscSLrtq5A+o2mFr
GEwoMpznhpxzmaEu40YA/AwL9OjhNiHxcRBJVBt5w+xNbu/4xHwTXeaCr365ZAcH
=DpQ7
-----END PGP SIGNATURE-----
to hej ale napr plugin na opakovanie uloh, jednoducha zalezitost aby sa v dany den kazdeho 3. dna v mesiaci vytvorila uloha a td. nikde neviem najst.
Chcelo by to proste cloveka co redmine ovlada a ma s pluginmi skusenost co su dobre overene a co sa oplati nahodit.
Kludne mu za jeho cas zaplatim, len nech sa mi ozve pls
Vdaka
Arty
On 09 Mar 2014, at 21:51, Tomas Meszaros <meszaros(a)advice.sk> wrote:
> potreboval by som nieco na opakovanie uloh, na stranke som nasiel kraviny co su nepouzitelne ;(
>
> Sent from my iPhone
>
> On 9.3.2014, at 19:04, Vit Jonas <vit.jonas(a)gmail.com> wrote:
>
>> No tak pluginy si musis dohledat sam. Ja Redmine pouzivam uspesne pro sve projekty bez pluginu :-) Primo na oficialnich strankach Redminu je databaze pluginu.
>>
>> Evilcroco
>>
>>
>> 2014-03-09 18:15 GMT+01:00 Tomas Meszaros <meszaros(a)advice.sk>:
>> ahoj,
>> jj presne takto to je nahodene.
>> ja by som ta potreboval iba donahravat nejake pluginy :)
>>
>> Tomas
>>
>> On 9.3.2014, at 16:05, Vit Jonas <vit.jonas(a)gmail.com> wrote:
>>
>>> Zdravím,
>>> Provozuji Redmine na VPS bez problémů pod Apachem na Debianu přes mod Passenger. Pokud používáš Debian a Apache, tak Ti to klidně zprovozním bez odměny :-)
>>>
>>> Vít Jonáš (Evilcroco)
>>>
>>>
>>>
>>> 2014-03-08 15:19 GMT+01:00 Silvestr Hašek <hasek(a)reklalink.cz>:
>>> vpn jsem na vpsfree zkoušel a nebyl v tom žádný větší háček + na KB je k vpn stránka: http://kb.vpsfree.cz/konfigurace_a_zabezpeceni/openvpn_server
>>>
>>> u redmine nemůžu sloužit
>>>
>>> Dne 8.3.2014 16:12, Tomas Meszaros napsal(a):
>>>
>>> fakt sa nikto nenajde? :(
>>>
>>> On 5.3.2014, at 16:21, Tomas Meszaros <meszaros(a)advice.sk> wrote:
>>>
>>> Ahojte,
>>> ak by sa nasiel niekto kto ma skusenosti s vpn na vpsfree a uspesne sa mu to podarilo rozbehat a zaroven ovlada redmine a pozna dobre pluginy doneho pls napiste mail alebo na jabber.
>>> Samozrejme za odmenu.
>>>
>>> Vdaka
>>> Arty
>>> mail: meszaros(a)advice.sk
>>> jabber: arty(a)jabber.cz
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Caute,
vim, ze nekteri trpite zhruba stejne, jako ja, tak jak jsme na tom
ted, a jak dlouho nas ten shitstorm jeste ceka, nez pomine?
padajici ipv6: bird, snad pobezi, uvidime dal,
prichozi ddosy: in progress, cosi se mozna rysuje ve spolupraci s
Master Internet, nebo pripadne custom solution s BGP blackholingem,
kernel panic: ted je tam kernel, kterej pres vsechny jeho chyby pokud
vim na panic nepada, takze od nej je klid a dalsi kernel uz by mel
projit lepsim testovanim, nez ho nasadime,
zfs deadlock: po poupdatovani codebase napric vsema serverama se mi uz
dari chytit stabilni ZFS setup na vsech nodech, takze se ZFS uz
nebudou problemy (dokud se s nim zase nerozhodneme delat psi kusy, ale
to pujde uz pres QA masinu)
QA: minimalne jsem se dost nastval na to, aby mi nevadilo, ze vyhodime
jednu velkou silnou masinu na testovani, takze ohledne QA se veci snad
taky pohnou.
kdump: potrebujeme 10GE infratrukturu po ktery sbirat memory dumpy
odpadlejch nodu, bez toho je kdump celkem useless,
- -> seznam je to nepekne nekratkej, nastesti vsechno uz ve stavu pri
nejhorsim "znam reseni", no uz by se na nej nemuselo nic chvili
pridavat, protoze jinak uz mne z toho chytaji infarktovy stavy...
Navic mam tuseni, ze hranice trpelivosti, nez zacnou lidi hromadne
migrovat veci pryc, je tak nejak blizko a ted uz to proste musi
vsechno bezet bez problemu, i za cenu odlozeni nejakych inovaci na par
mesicu.
- --
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM72nEACgkQMBKdi9lkZ6p2qgD+KFzbfRt6F957DjRqikfKnwTf
AMRvAYrjUt7KYsWwqEEBALQYJK5XVpi5KuUinwDQBv5dAZ+P2eLZdkjPYQqAmK9f
=txmz
-----END PGP SIGNATURE-----
Ahoj vespolek,
jak je to se zranitelností serverů vpsFree vůči Heartbleed ? Ověřil
jsem, že aktuálně mi test hlásí SAFE na prasiatko i vpsadmin, ale jak
to bylo? Vidím dvě možnosti:
A. Po aktualizaci své VPS a vygenerování nových certifikátů se už
nemusím o nic dál starat (servery nikdy neběžely na zranitelné
verzi)
B. Musím si změnit admin heslo a okamžitě začít přemýšlet, co se mohlo
stát s citlivými daty a jak minimalizovat škody (vpsAdmin apod.
běžely předtím na zranitelné verzi)
Předem díky,
Petr T
Ahoj,
potřeboval bych pro firmu vytvořit šablonu webu v Google Sites, tedy
pravděpodobně za pomoci CSS a Javascriptu. Mám grafické návrhy stránek od
grafika a chtěl bych z toho poskládat web v Google Sites, tak aby se to pak
dalo používat jako firemní šablona pro další weby.
Pokud to někdo umíte nebo znáte někoho kdo to už dělal, tak budu rád za
kontakt.
Zadarmo to nechci, na ceně se dohodneme při diskuzi o rozsahu práce.
S pozdravem,
Michal Štrál
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte,
tak od cca hodiny zpatky je nase sit pripojena k Master Internet
routerum redundantim 10 Gbit ethernetem.
Koho by zajimaly detaily, je to LR (do 10km :D), 1310nm vlnova delka,
LC konektory :)
Sice to bylo puvodne v planu az na vikend, ale museli jsme sednout do
auta a jet to vyresit, pravdepodobne na takovou dalku se ty metalicke
sitovky za ty 2 roky asi "vysvitily". Ve 22 vecer jsme vyrazili z
Bratislavy a ted akorat koncime :)
Problem se projevoval na medenych linkach mezi racky Masteru a nasim,
coz jsme vyresili optikou. Otazkou jsou propoje mezi nasim rackem a
Relbitim, ty ac jsou delsi, to zatim, zda se, nedelaji - na druhou
stranu to neni Cisco vs. Supermicro, ale Supermicro vs. Supermicro,
coz se zda chodi...
Ad proc propoj a proc to souvisi - jelikoz 1 router je od ted u
Relbitu a jeden u nas, ne nedelame netransparentni cachry, jenom
proste z hlediska economy of scale hostuje vpsFree pod Relbitem, mame
tak vsichni spolecne silnejsi linku za stejne penize, i kdyz jestli
budou DDoSy pokracovat, tomuhle bychom museli ucinit pritrz a oba
projekty by si musely proste zaplatit separatni linky. A btw, ty
routery jsou Relbitu, my jsme tak usetrili cca 70 tisic. Nicmene to je
OT :)
Kazdopadne zbyvajici copper sitovky preventivne proste taky vymenime a
bude klid.
Btw, nechcete nekdo tyhlety potom? Nemame pro ne usecase, na kratke
vzdalenosti (tested 5m) budou chodit uplne bez problemu, akorat na
delsi (30m+) bude proste mozna linka obcas "flappovat" (up/down,
up/down, ...). Do production je nedam ani omylem, ale uz se stalo XY
krat, ze co jsem odmitnul hodit do production, doma nekomu z nas
slouzi k plny spokojenosti :)
Zn. Za odvoz (ale teda az budou vymeneny a volny).
Mno a co to teda znamena, ze desetigigo? Ted si platime za
1+0.3+0.3Gbit NIX/SIX/tranzit, coz uz samo o sobe pri chodu na jeden
router dava 1.6Gbit maximalni propustnost, takze tu je odpoved.
Aha, vlastne uz to neni 1/0.3/0.3, ale ted uz je to par dni 1/0.5/0.5,
tzn 2G :)
Dalsim na holeni na fronte konektivity pak bude +1Gbit NIX, jakmile to
bude davat smysl (horizont mesicu).
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlNDf2AACgkQMBKdi9lkZ6pv1wD/U8MuyrueNjM6VNXPReehISeX
LpdSwP8lgB5B39VftSoA/jWUJZVy9Pp8QZJtV/XbH6lBepIrsfFBNDiGz6VJYefH
=JYO7
-----END PGP SIGNATURE-----
Ahoj,
nevím jestli se to už k vám dostalo, ale v OpenSSL je kritický bug (Heartbleed Bug), který umožňuje ukrást šifrované informace. Týká se to například i OpenSSL v Debianu. Více info v angličtině najdete zde http://heartbleed.com/.
T.
