Настраиваем фаерволл для веб-сервера

Сервер в сети с открытыми портами — звучит не очень безопасно 🙂 В данной заметке вы найдёте отлаженные правила фаерволла для сервера, принимающего HTTP запросы и отдающего HTTP ответы, проще говоря, веб-сервера.

Вероятнее всего ваш веб-сервер крутится на Linux, а в Linux из коробки присутствует фаерволл netfilter. Для управления им используется утилита iptables.

Внимание: если вы не имеете непосредственного физического доступа к серверу, а работаете с ним удалённо через SSH, то прежде, чем приступать к настройке фаерволла, обратитесь к вашему хостинг-провайдеру с вопросом, сможет ли он восстановить доступ к SSH или предоставить альтернативу в случае, если вы нечаянно заблокируете себя.

Тем не менее, iptables сам не сохраняет введённые правила навсегда — они будут сброшены после перезагрузки. Чтобы настройки сохранялись нужно установить iptables-persistent отдельно. Но это в конце. Для начала следует сформировать и протестировать правила фаерволла, убедиться в работоспособности доступа к серверу по SSH, работы приложения веб-сервера (nginx, Apache) и т.п.

Читать дальше…

Отключаем запуск внешних программ через PHP

В PHP есть ряд функций, с помощью которых можно запускать внешние программы, в т.ч. через шелл.

Это очень полезная возможность при создании сервисов и других приложений посложнее сайтиков.

Но на серверах, на которых работают только типичные сайты (например, на CMF или CMS), данные функции могут быть использованы скрипт-кидди и прочими хакерами, эксплуатирующими уязвимости тех же CMS. И, даже ограничивая поле деятельности сайта в рамках его каталога хоста, с помощью запуска внешних программ разрушительные действия могут вырваться за пределы этой песочницы.

Читать дальше…

Как убрать сохранение прав доступа к файлам CHMOD в Git

Можно обнаружить, что по умолчанию Git сохраняет права доступа к файлам в коммитах, что может быть нежелательным, например, для каталогов временных файлов, кэша или конфигураций.

Чтобы отключить сохранение прав доступа к файлам (CHMOD) в репозиториях Git используйте эту комманду:

git config --global core.fileMode false

Но это подействует только для вновь клонируемых репозиториев. К сожалению, Git в конфигурациях всех локальных репозиториях добавляет опцию fileMode = true. Поэтому, придётся пройтись по всем локальным репозиториям (или написать скрипт) и ввести следующую команду:

git config --unset core.fileMode

Это уберёт из конфигурации локального репозитория опцию fileMode вообще. Тогда Git будет использовать настройку по умолчанию, заданную первой командой.

Honda RA272 готов

Обожаю модели с детализированной ходовой частью и сборка Honda RA272 оставила только наилучшие впечатления. В этой модели впервые попробовал грунт, лак и полировку. Таким образом, покраска кузова состояла из нескольких этапов: нанесение грунта, сухого слоя краски для задания тона, мокрого слоя краски для глянца, лак для защиты и, наконец, использование полироли для придания более чёткого глянца кузова. Добавлю, что в этот раз мокрый слой очень гладко ложился и имел красивый глянец, полагаю, что такой эффект был за счёт использования грунта, который лучше сцепляется с пластиком, нежели акрил, и даёт сцепкую поверхность для краски.

Кроме того, здесь можно наблюдать шланги на двигателе, которые сделал из защищенной витой пары 🙂

Прототип модели — Honda RA272 — это болид «Формулы-1» 65 года, на нём одержала победу команда Honda, правда только единожды из восьми гонок.

Читать дальше…