[vpsFree.cz: community-list] Útoky na bash běží

Ján Raška raskaj at gmail.com
Tue Sep 30 15:02:12 CEST 2014 

Co sa tyka mysql, vrele odporucam prechod na mariaDB. Bezi uplne bez problemov ako nahrada za mysql a da sa tam dost dobre riesit HA cez Galera cluster.

Ja som mal jeden problem, a sice, ze aj ked som mal apache2 odinstalovany (pouzivam nginx + java) tak mi ho tam automaticky nainstalovalo (zrejme to je nejaky default balik alebo bol ako dependency niecoho) a kedze startoval skor nez nginx, tak si chytil port 80 a tym padom nginx nenastartoval, musel som to riesit rucne a ten apache vypnut, zmazat a nastartovat nginx.

Taktiez, co sa tyka javy, ak pouzivate javu od Oraclu (nie OpenJDK) tak akykolvek upgrade (nielen dist-upgrade ale akykolvek upgrade balika javy) prepise subory security extensions naspat na defaultne, cize tym padom po upgrade je potrebny rucny zasah, inak nebude mozne pouzit v sifrovacich algoritmoch lepsie nez 128bitove kluce.

Ak nie je mozne pouzit prehodenie z playgroundu, urcite odporucam si to na playgrounde minimalne vopred odskusat, takto som o problemoch s apachom ci s javou vedel dopredu a pripravil som si script, ktory som po dokonceni upgradu spusitl a ten mi pofixoval vsetko ostatne, takze som uz nad tym nematuroval a downtime bol naozaj minimalny :)


> On 30 Sep 2014, at 00:30, Nikos Timiopulos <nikos at manikstudio.cz> wrote:
> 
> Doporučuju si na to vytvořit VPS na playgroundu, odladit a pak přehodit. Pokud používáš mysql, apache apod. z balíčků squeeze, je vhodné se podívat na dokumentaci migrace jednotlivých verzí - např. u mysql doporučují nejprve vytvořit zálohu a tu následně obnovit už v nové verzi mysql (http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html <http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html>).
> 
> Třeba ještě pomůžou moje ne moc pohledné noob poznámky s postupem, které jsem během upgradu sepsal. Nejprve jsou vypsány configy balíčků, kterých se upgrade týkal a dával na výběr, zda ponechat současný config, nebo nahradit novým. To bude samozřejmě individuální, nicméně v mém případě byl problém akorát s mysql:
> 
> /etc/crontab
> /etc/default/rkhunter
> /etc/fail2ban/jail.conf
> /etc/sudoers
> * /etc/mysql/my.cnf
> /etc/php5/cli/php.ini
> /etc/php5/cgi/php.ini
> /etc/default/saslauthd
> /etc/apache2/mods-available/ssl.conf
> /etc/apache2/apache2.conf
> /etc/apache2/mods-available/php5.conf
> /etc/php5/apache2/php.ini
> 
> mysql: http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html <http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html>
> 	mysqldump -u root -p --all-databases > backup.sql
> 	mysql -u root -p < backup.sql
> 
> 0) apt-get remove --purge dovecot-common
> 1) apt-get update & upgrade & dist-upgrade of current distribution
> 2) dpgk --audit
> 3) mysql dump
> 4) edit sources.list squeeze -> wheezy
> 5) apt-get update & upgrade & dist-upgrade (keep current configs)
> 6) NOW - problem with mysql, replace old my.cnf with new my.cnf.dpkg-dist
> 7) apt-get autoremove
> 8) dpkg --audit , aptitude reinstall ****** all the packages listed in dpkg --audit
> 9) create /etc/my.cnf with: 
> 
> [mysqld]
> open_files_limit = 100000
> 
> 9) mysql from dump (recommended by mysql)
> 10) apt-get install dovecot-common dovecot-imapd dovecot-pop3d
> 
> 
> 
> On 29 Sep 2014, at 23:20, Michal Dobsovic <dobsovic at itlearning.sk <mailto:dobsovic at itlearning.sk>> wrote:
> 
>> Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
>> 
>> Dik.
>> Miso
>> 
>> Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer at gmail.com <mailto:jirka.cer at gmail.com>> napísal(a):
>> Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
>> 
>> 
>> Dne 29. září 2014 14:16 Juraj Chlebec <havran at gmail.com <javascript:_e(%7B%7D,'cvml','havran at gmail.com');>> napsal(a):
>> Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
>> 
>> Juro Chlebec
>> 
>> 2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos at manikstudio.cz <javascript:_e(%7B%7D,'cvml','nikos at manikstudio.cz');>>:
>> Ahoj,
>> 
>> za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using <https://wiki.debian.org/LTS/Using>
>> 
>> 
>> Nikos
>> 
>> On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar at vpsfree.cz <javascript:_e(%7B%7D,'cvml','petr.krcmar at vpsfree.cz');>> wrote:
>> 
>>> Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
>>>> V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
>>>> napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
>>>> na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
>>>> záplatu (a zveřejním nějakou statistiku).
>>> 
>>> Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
>>> Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
>>> 
>>> -- 
>>> Petr Krčmář
>>> vpsFree.cz
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz <javascript:_e(%7B%7D,'cvml','Community-list at lists.vpsfree.cz');>
>>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> 
>> 
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz <javascript:_e(%7B%7D,'cvml','Community-list at lists.vpsfree.cz');>
>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> 
>> 
>> 
>> 
>> -- 
>> Juraj Chlebec aka Havran
>> http://www.svoji.sk <http://www.svoji.sk/>
>> 
>> 
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz <javascript:_e(%7B%7D,'cvml','Community-list at lists.vpsfree.cz');>
>> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
>> 
>> 
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140930/c97967fa/attachment-0002.html>

More information about the Community-list mailing list