Вышли в свет iptables 1.4.12

Доступно обновление iptables 1.4.12, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 3.0 и внесено около 40 изменений, среди которых:

  • Устранение регрессивного изменения в модуле libxt_state, появившегося в выпуске 1.4.11.1 и приводившего к инвертированию параметров базовых настроек;
  • Модуль libxt_RATEEST переведен на использование управляемого парсера опций (“guided option parser”), который в прошлом выпуске iptables заменил собой большое число отдельных блоков кода, привязанных к обработке отдельных опций;
  • Устранены проблемы, выявленные в результате автоматизированного сканирования кода системой Сoverity;
  • Обновлена документация;
  • В iptables объединён вызов кода инициализации для действий и критериев (target/match);
  • Изменен подход к использованию глобальных переменных, каждое расширение теперь имеет своё пространство глобальных переменных;
  • Предпринята попытка устранения проблем со сборкой при использовании Linux-ядра 2.4.x;
  • В libxtables реализовано игнорирование пробелов при парсинге опций, подразумевающих наличие нескольких адресов.

Apache 2 под наблюдением

Apache 2 под наблюдением

Вступление

Уже написано немало постов на просторах интернета, о мониторинге веб-сервера Apache. При вводе такой фразы, как «мониторинг нагрузки apache» в строке поиска Google, результаты поиска указывают на полезнейший модуль mod_status. А также о еще большей полезности этого модуля в сочетании с perl-расширениями. А если еще и немного пропатчить эти perl-расширения — то вообще супер система получается. Но настроив такую систему — системный администратор на этом, как правило, не останавливается, ему уже необходимо история нагрузки по серверу в целом, потом по каждому хосту, а далее и с точностью до скрипта. И чтоб потом сравнить можно было, а как раньше было, а как теперь нагрузка распределяется.
И вот здесь на помощь может прийти модуль для веб-сервера Apache — mod_performance.

Continue reading »

Заметка по защите от DoS и DDos атак

Заметки по защите от DoS и DDos атак (в контексте защиты WEB-сервера).

DoS – воздействие на сервис от одного или небольшого числа IP.
DDoS – воздействие на сервис от большого числа разных IP.
Continue reading »

Для DNS-сервера BIND 9 представлено исправление

Для DNS-сервера BIND 9 представлено исправление, существенно сокращающее время запуска
Как известно, одной из проблем DNS-сервера BIND 9 является очень медленный запуск при большом числе обслуживаемых DNS-зон. Если для сотен зон загрузка длится около минуты, то для сотен тысяч зон на запуск может уйти несколько часов (для миллиона зон – около 10 часов). Как оказалось, подобное поведение вызвано ошибкой разработчиков. После внесения изменений время запуска сервера с 500 тысячами зон сократилось с пяти с половиной часов до 2-3 минут, при росте потребления памяти на 2%. Исправление будет включено в состав будущих выпусков 9.8.1, 9.6-ESV-R5 и 9.7.4.

Проблема была вызвана неверным выбором размера пула одновременно выполняемых в BIND внутренних задач. При загрузке для обслуживания каждой зоны создается своя внутренняя задача, в рамках которой кроме разбора данных выполняются такие требующие времени действия, как отправка SOA-запросов master-серверам и отправка NOTIFY-уведомлений slave-серверам, сброс на диск дампа динамических зон и генерация DNSSEC-сигнатур. Так как по умолчанию число одновременно выполняемых задач было ограничено 8, все эти действия по сути выполнялись последовательно.

Обновление Linux-ядра: 2.6.39.3

Представлен корректирующий релиз Linux-ядра – 2.6.39.3, в котором отмечено 109 исправлений. Как обычно, в анонсе выхода новых версий подчеркивается обязательность проведения обновления. Из подсистем, в которых исправлены ошибки, можно выделить: USB, xhci, drm/i915, drm/radeon, conntrack, KVM, Xen, vlan, netfilter, ipset, FS-Cache, cfq-iosched, NFSv4, nfsd, ALSA, ath9k, ath5k, IPVS.

Среди исправленных проблем: устранение ошибки в ipv4-стеке, приводившей к потере первого пакета в mulicast-потоке; решение проблемы в драйвере USB Hub, которая мешала переходу в спящий режим; устранение зацикливания в подсистеме md, проявляющегося при определенных обстоятельствах в процессе восстановления программного RAID.

Несколько исправлений связаны с безопасностью:

  • Отсутствие должной инициализации структур, обеспечивающих работу блокировок в коде, связанном с файловыми системами может привести к утечке информации из области ядра при использовании FUSE-модулей.
  • Ошибка в реализации функции inet_diag_bc_audit() из состава подсистемы inet_diag может привести к подстановке кода локальным пользователем или инициированию бесконечного цикла.
  • Возможность разыменования NULL-указателя в ksmd.

CentOS 6.0

Дождались! Релиз Centos 6.0.

ISO можно получить с официального сайта

http://centos.mirror.nexicom.net/6.0/isos/

обновление существующей системы

1
2
3
4
yum upgrade
reboot
uname -a
cat /etc/redhat-release

UPD: у меня не обновилось из-за недостающих зависимостей. Откладываем осмотр новой версии на полку.

1 2