CloudFlare представил новый публичный dns

1.1.1.1 dns

Сам сервис был представлен 1 апреля 2018 года, что некоторые посчитали по началу шуткой. Но причина выбора этой даты весьма проста, в ip адресе главного dns сервера (1.1.1.1) четыре единицы (апрель четвертый месяц по счету).

В качестве отличительных особенностей этого dns – повышенная безопасность, с использованием шифрования и стирание логов каждые 24 часа. А также быстрота, уже сейчас публичный dns от CloudFlare занимает первое место по быстродействию (по данным мониторинга DNSPerf). dnsperf monitoring

Подключение:
Для IPv4:
1.1.1.1
1.0.0.1

Для IPv6:
2606:4700:4700::1111
2606:4700:4700::1001

Будем тестировать.

О телеге

Есть люди которые превозносят telegram как идеал удобства и безопасности, некоторым он тупо не нравится, и т.д.
ХЗ.
Никогда не понимал людей зависимых от конкретного ПО, программ, соц. сетей, cms и т.д. Нужно стараться быть мобильным и приспосабливаться. О телеграмме не могу сказать ничего особого, обычный мессенджер который хорошо распиарили. В целом неплохо, можно пользоваться.
А касательно его безопасности и надежности шифрования – сказать сложно, но думаю тот кто захочет – получит все нужные ему данные.

Некоторые правила по информационной безопасности

Все что вы прочтете ниже – является личным мнением автора и его некоторой паранойей, касательно информационной безопасности.

В последнее время часто приходиться слышать как люди становятся жертвой хакеров, их тем или иным образом взламывают и т.д. И как выясняется, в подавляющем большинстве случаев вина лежит на самих пострадавших.

Я не хочу долго и красочно описывать кейсы, с которыми по ходу работы я иногда сталкивался. Я перечислю некоторые правила которых придерживаюсь я и люди, работающие в «проектах по другим направлениям» (пока назовем это так).

  1. Все пароли должны быть генерированными, не менее 15 символов. (лучше – больше). Пример: j7R8d8jL14t8pN9Y0yQ9qe4S10095v
  2. Не один пароль не должен повторяться. Иначе, в случае компрометации одного пароля (например слили базу данных с говно-сайта, где пароли не шифровались) – последует дальнейший взлом на других площадках.
  3. Логины, пароли и другая информация не должна храниться в открытом виде. Это касается и «оффлайн» источников (блокнотики и т.д.). Общая рекомендация – это использование менеджеров паролей, где база шифровалась бы по более менее нормальному алгоритму. С ответственностью отнеситесь к выбору менеджера паролей, ведь в случае утечек – вы можете очень серьезно пострадать. Рекомендую тщательно следить за любой сетевой активностью менеджера паролей (на всякий случай).
  4. Мастер пароль для менеджера пароля (или например ключ для расшифровки и т.д.) – должен быть хорошо запоминаем и не должен как то быть связан с вашей жизнью. В противном случае вы можете незаметно его выдать злоумышленнику, ведь очень часто людей взламывают путем социальной инженерии. Ну и конечно он должен быть достаточно стойким.
  5. Компьютер на котором вы работаете – должен быть чист. (Это касается вирусов, бэкдоров и т.д. Вовремя обновляйте систему, используйте нормальный антивирус и firewall. Регулярно проверяйте систему хорошими «облачными» сканерами.). Следите за CVE и при необходимости принимайте меры. Никто не может исключить 0day уязвимости, поэтому работайте аккуратно, не допускайте лишних рисков и используйте более-менее нормальный софт.
  6. Всегда имейте резервные копии. Бэкапы должны храниться желательно на другом компьютере или сервере, не соединенных общей локальной сетью (так как в противном случае возможно массовое заражение). Важные бэкапы всегда должны быть зашифрованы (например база менеджера паролей).
  7. Не используйте публичные vpn, tor и т.д. (Лучше перестраховаться на всякий случай и использовать собственный vpn, где вы бы знали что все данные 100% шифруются и никакие логи не ведутся).
  8. В случае компрометации – вы должны быстро восстановить доступ к важным объектам и начать чистку. Видите постоянный мониторинг, отслеживайте аномалии.

Филиалы ovh

У ovh достаточно много филиалов, но самые нормальные где есть Россия (при регистрации нужно указать страну) – это LT (Литва, ovh.lt) и IE (Ирландия, ovh.ie).
В литовском филиале даже русский чел есть, который часто отвечает на почту.
Валюта в обоих филиалах – евро (€).

https://www.kimsufi.com/lt/ (KimSufi, Литва)
https://www.kimsufi.com/en/ (KimSufi, Ирландия)
https://www.soyoustart.com/lt/ (SoYouStart, Литва)
https://www.soyoustart.com/ie/ (SoYouStart, Ирландия)

Вы можете зарегистрироваться например и во французском филиале, но там убогий метод ежемесячного списания средств. В общем lt и ie два самых нормальных филиала.

P.S. У меня например много аккаунтов в разных филиалах. Не забывайте в этом случае использовать разные браузеры и режимы «Инкогнито», иначе сессии будут всё время сбиваться. Это как бы очевидно.

Правильная отправка электронной почты, или как не попасть в спам

В этой статье я не буду упоминать различные ресурсы по осуществлению рассылок, так как мы будем рассматривать отправку почты с конкретного сервера. Крайне важно что бы это был сервер с выделенным ip, а не виртуальный хостинг, где на одном ip могут находиться сотни сайтов.

После того как нам выдали ip-адрес сервера – проверяем его на наличие в spam-листах (например тут). Самый главный и авторитетный это spamhaus. Но и про другие забывать не стоит. Если видите себя в их листинге – пишем им на мыло и просим удалить, рассказывая какие мы хорошие, и что спамом и прочим мы не занимаемся.

Теперь связываем ip-адрес сервера с доменом, с которого уже будет осуществляться рассылка. Делается это простой A-записью в DNS у домена.
Также рекомендую прописать этот домен в качестве hostname на сервере (команда «hostname»).
Еще обязательно в настройках ip-адреса сервера измените стандартную PTR-запись на ваше доменное имя (еще эту ptr-запись называют reverse dns или rDNS). Проверить ptr-запись можно тут. Вводим ip-адрес сервера и жмем кнопку «Информация». Если сделали все верно, то в пункте «Имя ресурса» будет отображаться указанный вами домен.

Далее мы будем рассматривать это со стороны установленной на сервере панели управления ispmanager 5 lite. Но все тоже самое можно сделать самому или используя другую панель.

Читать далее →

Список дата центров OVH

Локация Название ДЦ в OVH
US West (OR, Portland) – США, штат Орегон, г. Портленд HIL1
US East (VA, Washington) – США, штат Вирджиния, округ Вашингтон VIN1
CA East (QC, Monreal) – Канада, провинция Квебек, г. Монреаль BHS1 BHS2 BHS3 BHS4 …
EU West (UK, London) – Соединённое Королевство, г. Лондон ERI1
EU West (FR, Lille) – Франция, округ Лилль, г. Рубе (фр. Roubaix) GRA1 GRA2

RBX1 RBX2 RBX3 RBX4 RBX5 RBX6 RBX7

EU Central (FR, Strasbourg) – Франция, г. Страсбург SBG1 SBG2 SBG4
EU Central (DE, Frankfurt) – Германия, г. Франкфурт (или Франкфурт-на-Майне) LIM1
EU Central (PL, Warsaw) – Польша, г. Варшава WAW1 (или OZA1)
AP South-East (SG, Singapore) – Республика Сингапур, г. Сингапур SGP1
AP Australia (NSW, Sydney) – Австралия, штат Новый Южный Уэльс, г. Сидней SYD1

По мере появления новых ДЦ – таблица будет дополняться.
Последнее обновление: 15.12.2017

dc-roadmap
dc-list
ovh-vms-dc

Проблема в RBX, OVH. Снова

Приблизительно в 23:40 по МСК в сети Дата-Центра RBX (кто не знает, это один из многих дата центров OVH) что-то пошло не так (должно было планово обновиться ПО на Cisco, но оно не обновилось).

Через сеть RBX идут еще Дата Центры LIM1 (Germany, Frankfurt) и ERI1 (UK, London). (по крайне мере на момент публикации)

ovh twitter

Меняем firewalld на iptables в Centos 7

Однажды я заметил что в iptables -L появились ненужные мне правила, после переустановки ОС на одном из серверов. Мои попытки их изменить не к чему не приводили, так как они возвращались после перезагрузки сервера.

Проблема была в том, что вместо iptables установился непонятный firewalld. Проверить это можно с помощью команды: firewall-cmd --state
(если он запущен, результат будет: «running»)

Теперь когда мы убедились в этом, можно приступать к установке всеми любимого iptables. Да, именно установке. Несмотря на то что команды iptables работают, в действительности его нет, это лишь firewalld. Убедиться в том что iptables отсутствует – можно следующей командой: systemctl status iptables

(если его нет, мы увидим следующее: «Unit iptables.service could not be found»)

Итак, приступим к установке iptables:

systemctl disable firewalld отключаем автозагрузку firewalld
systemctl stop firewalld останавливаем firewalld
yum install iptables-services устанавливаем iptables
systemctl start iptables запускаем iptables
systemctl start ip6tables запускаем iptables для ipv6 (я лично не буду, так как не использую ipv6)
systemctl enable iptables включаем автозапуск iptables
systemctl enable ip6tables включаем автозапуск iptables для ipv6 (я лично не буду, так как не использую ipv6)

Для того что-бы после перезагрузки все правила iptables сохранялись:

Открываем файл /etc/sysconfig/iptables-config (и ip6tables-config, если используете ipv6) и редактируем следующие пункты:

IPTABLES_SAVE_ON_STOP=«yes»
IPTABLES_SAVE_ON_RESTART=«yes»

(В обеих строках должно быть yes).

Готово.

Очистка правил в iptables:

iptables -F
iptables -X

Сохранение правил:

iptables-save