Велосипед своими руками или боремся с зависающими точками AP

Столкнулся замечательными Wi-fi точками от Ubiquiti. Все хорошо, но иногда они почему-то подвисают и перестают принимать wi-fi клиентов. При этом ethernet продолжает работать, а в dmesg выдается сообщение «wifi0: transmit timed out». Лечится только перезагрузкой точки. Проблема известная, разработчики не теряют надежды ее победить, но пока вот так…
Читать дальше →

Неувядающий SSH-туннель

  • Linux
Как известно, SSH-туннели смертны. Помирают они по самым разным, порой непредсказуемым причинам, так что все возможные казусы одним лишь рихтованием настроек SSH предусмотреть наперёд невозможно. Понятно, что так жить нельзя, и с этим разумеется, нужно было позавчера что-то делать :)
На счастье в *nix кроме монстроидальных ужасных by design вещей типа upstart или systemd есть ещё и маленькие надёжные программы, решающие свою узкую задачу просто, предсказуемо и прямолинейно, то есть в так называемом unix-way стиле. К числу таковых относится и так называемый супервизор RunIt. Почитать о нём подробно можно, например, на хабре, здесь же я приведу готовое решение проблемы рушащегося на головы туннеля:

sudo apt-get install runit
sudo mkdir /etc/sv/unbreak-tun
cat <<'EOF' | sudo tee /etc/sv/unbreak-tun/run
#!/bin/bash
exec 2>&1
chpst  -u gideon:gideon ssh -i /home/gideon/.ssh/unsecure.rsa -p 5714 -L 1234:localhost:4567 melpomena@remote.host
EOF
sudo chmod +x /etc/sv/unbreak-tun/run
sudo ln -s '../sv/unbreak-tun' /etc/service/

Собственно, вот и всё решение!
Поменяйте номера портов, имена хостов и логины пользователей на нужные перед копированием этого кода в консоль — и получите туннель который уж если работает, то убить его будет решительно невозможно. А вот штатным образом остановить службу — пожалуйста: sudo sv stop unbreak-tun.

Продолжаем защищаться или fail2ban на страже сервера

  • Linux
Предистория: Недавно настраивал в одной небольшой конторе внешний мультисервер — squid/postfix/apache и так далее. Доступ естественно по ssh, в конторе сразу попросили настроить защиту с мира на все что возможно. «Громкая просьба», но заказчик в данном случае прав — защита нужна, хотя бы от тупых халявщиков и прочей бредни. Естественно пожелание было учтено.
Вообще эпопея началась сразу: как только поднял ssh и proftpd (делал большую часть удаленно), в логи посыпался перебор паролей, на первом этапе быстренько подцепил sshguard — на первое время так сказать хватит. Так как в мир смотрело много сервисов — включая POP3/IMAP4 (ну возжаждал так клиент, web-морды для почты им мало) и прочее, решил поискать что-нибудь поинтересней. Google как говориться в помощь. Плутая в дебрях инета нашол простенькую, но интересную прогу из боекомплекта linux — fail2ban, быстренько пробежался по описанию — дружит почти со всем что можно и нельзя, умеет баннить и jail-ить. Ну что ж — вперед, на танки как говориться.
Читать дальше →

Защита ssh и ftp от брутфорса

  • Linux
Настраивал одной конторе сервер на ubuntu 10.04 tls2, через несколько дней ребята позвонили и сказали что после публикации ssh(22) и ftp(21) в мир для своих нужд в логах посыпался перебор паролей. Ковырять port-knokking на linux было неохота, потому набрав команду
sudo apt-cache search ssh | less
бегло пробежался по тому что предлагалось. Одна утилитка меня заинтересовала —
sshguard - Protects from brute force attacks against ssh
пробежавшись в google по применению нашел простой вариант.

Читать дальше →