Архив рубрики: Павел

Логирование и аудит потенциально опасных событий на сервере Linux

09.06.2022 Павел Грибов Оставить комментарий

Задача: при изменении критически важных файлов, запуск из под sudo, создание тоннелей SSH и переброс портов — отсылать уведомление об этом на почту.

Решение: воспользуемся штатным демоном auditd и сторонней утилитой wazuh

Установка auditd:

apt install auditd

1	apt install auditd

Просмотр текущих действующих правил:

auditctl -l -a never,task

1	auditctl -l -a never,task

Стереть все действующие правила:

auditctl -D

1	auditctl -D

1) Настроить уведомление об изменении файлов /etc/paswd и /etc/shadow

auditctl -w /etc/passwd -p wa -k passwd_watch
auditctl -w /etc/shadow -p wa -k shadow_watch

1 2	auditctl -w /etc/passwd -p wa -k passwd_watch auditctl -w /etc/shadow -p wa -k shadow_watch

, где -p — обозначает при каком условии будет сделана запись в журнал:

r — операция чтения данных из файла
w — операция записи данных в файл
x — операция исполнения файла
a — операция изменения атрибутов файла или директории

Что бы правила работали на постоянной основе, их нужно добавить в файл /etc/audit/rules.d/audit.rules после чего перезапустить демон

systemctl restart auditd.service

1 2	systemctl restart auditd.service

2) Настройка уведомления о выполнении команд от sudo/root:

auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k rootcmd
auditctl -a exit,always -F arch=b32 -F euid=0 -S execve -k rootcmd

1 2	auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k rootcmd auditctl -a exit,always -F arch=b32 -F euid=0 -S execve -k rootcmd

3) Для того чтобы уведомления из журнала /etc/audit/audit.log отправлялись на почту, нужно установить wazuh-manager:

add-apt-repository ppa:openjdk-r/ppa
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt-get update
apt-get install wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager

add-apt-repository ppa:openjdk-r/ppa

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

apt-get update

apt-get install wazuh-manager

systemctl daemon-reload

systemctl enable wazuh-manager

systemctl start wazuh-manager

И соответственно добавить в конфигурационный файл /var/ossec/etc/ossec.conf, отслеживание изменений:

<localfile>
    <location>/var/log/audit/audit.log</location>
    <log_format>audit</log_format>
  </localfile>

<location>/var/log/audit/audit.log</location>

<log_format>audit</log_format>

</localfile>

В этом же файле нужно настроить секцию касающуюся отправки уведомлений по email — отправитель, получатель.

Далее добавляем ключевые слова в /var/ossec/etc/lists/audit-keys, для фильтрации событий:

passwd_watch:read
shadow_watch:read
sudo:read

passwd_watch:read

shadow_watch:read

sudo:read

И добавить правило срабатывания в /var/ossec/etc/rules/local_rules.xml:

<group name="audit">
  < <rule id="100002" level="12">
      <if_sid>80700</if_sid>
      <match>sudo</match>
      <options>alert_by_email</options>
      <description>Выполнена команда от SUDO сервер sdcsdcezs.sadcasd.ru</description>
  </rule>
  <rule id="100003" level="12">
      <if_sid>80701</if_sid>
      <match>passwd_watch</match>
      <options>alert_by_email</options>
      <description>Изменился файл /etc/passwd</description>
  </rule>
</group>

< <rule id="100002" level="12">

<if_sid>80700</if_sid>

<options>alert_by_email</options>

<description>Выполнена команда от SUDO сервер sdcsdcezs.sadcasd.ru</description>

</rule>

<if_sid>80701</if_sid>

<match>passwd_watch</match>

<options>alert_by_email</options>

<description>Изменился файл /etc/passwd</description>

</rule>

</group>

WEB

Диалоговые окна на boostrap5 + jquery

08.06.2022 Павел Грибов Оставить комментарий

Лень двигатель прогресса (с). В одной из задач, используется довольно большое количество однотипных окон с вопросами и кнопками -Да, Нет, Ок и т.д. Чтобы не рисовать каждый раз эти окна руками в коде html, можно поступить лучше: оформить создание диалогового окна «на лету» с вызовом пользовательской функции по нажатию какой-то из кнопок.

Решение:

function UUID_V4() {
    var S4 = function() {
       return (((1+Math.random())*0x10000)|0).toString(16).substring(1);
    };
    return (S4()+S4()+"-"+S4()+"-"+S4()+"-"+S4()+"-"+S4()+S4()+S4());
}

function Dialog(title,message,buttons=Array(),callback=function(){}){
  var uuid=UUID_V4();  
       html='<div class="modal fade" id="'+uuid+'" tabindex="-1" role="dialog" aria-labelledby="'+uuid+'Label" aria-hidden="true">';
  html=html+' <div class="modal-dialog modal-lg">';
  html=html+'  <div class="modal-content">';
  html=html+'    <div class="modal-header">';
  html=html+'      <h5 class="modal-title" id=""'+uuid+'Label">'+title+'</h5>';
  html=html+'      <button type="button" class="btn-close" data-bs-dismiss="modal" aria-label="Close"></button>';
  html=html+'    </div>';
  html=html+'    <div class="modal-body">';
  html=html+'        <p>'+message+'</p>';
  html=html+'    </div>';
  html=html+'    <div class="modal-footer">';
  buttons.forEach(function(bt, index, array) {
    if (index==0){
      html=html+'<button type="button" onclick="'+callback.name+'(\''+bt+'\')" class="btn btn-secondary" data-bs-dismiss="modal">'+bt+'</button>';  
    } else {
      html=html+'<button type="button" onclick="'+callback.name+'(\''+bt+'\')" class="btn btn-primary" data-bs-dismiss="modal">'+bt+'</button>';  
    };    
  });
  html=html+'    </div>';
  html=html+'  </div>';
  html=html+' </div>';
  html=html+'</div>';
  $("body").append(html);
  $("#"+uuid).modal("show");
  $("#"+uuid).on("hidden.bs.modal", function () {
    console.log("--закрыли окно");
    $("#"+uuid).remove();
  });
};
Dialog("Привет","Тут какой-то текст",["Ок","Отмена"],ResultTestDialog);

function ResultTestDialog(result){
    console.log("!",result);
}

function UUID_V4() {

var S4 = function() {

return (((1+Math.random())*0x10000)|0).toString(16).substring(1);

};

return (S4()+S4()+"-"+S4()+"-"+S4()+"-"+S4()+"-"+S4()+S4()+S4());

}

function Dialog(title,message,buttons=Array(),callback=function(){}){

var uuid=UUID_V4();

html='<div class="modal fade" id="'+uuid+'" tabindex="-1" role="dialog" aria-labelledby="'+uuid+'Label" aria-hidden="true">';

html=html+' <div class="modal-dialog modal-lg">';

html=html+' <div class="modal-content">';

html=html+' <div class="modal-header">';

html=html+' <h5 class="modal-title" id=""'+uuid+'Label">'+title+'</h5>';

html=html+' <button type="button" class="btn-close" data-bs-dismiss="modal" aria-label="Close"></button>';

html=html+' </div>';

html=html+' <div class="modal-body">';

html=html+' <p>'+message+'</p>';

html=html+' </div>';

html=html+' <div class="modal-footer">';

buttons.forEach(function(bt, index, array) {

if (index==0){

html=html+'<button type="button" onclick="'+callback.name+'(\''+bt+'\')" class="btn btn-secondary" data-bs-dismiss="modal">'+bt+'</button>';

} else {

html=html+'<button type="button" onclick="'+callback.name+'(\''+bt+'\')" class="btn btn-primary" data-bs-dismiss="modal">'+bt+'</button>';

};

});

html=html+' </div>';

html=html+'</div>';

$("body").append(html);

$("#"+uuid).modal("show");

$("#"+uuid).on("hidden.bs.modal", function () {

console.log("--закрыли окно");

$("#"+uuid).remove();

});

};

Dialog("Привет","Тут какой-то текст",["Ок","Отмена"],ResultTestDialog);

function ResultTestDialog(result){

console.log("!",result);

}

1C, bitrix

ТиС: ошибка обмена с сайтом Bitrix

07.06.2022 Павел Грибов Оставить комментарий

Словил ошибку:

bitrix Произошла ошибка на стороне сервера. Получен неизвестный статус импорта.Ответ сервера:MySQL Query Error!Ответ сервера: MySQL Query Error!

Возможно эти ошибки уйдут, если проверите: 

1) Нет места на ж/д на хостинге
2) Превышено количество файлов/папок в каталоге upload
3) Уже фоново выполняется в 1с процесс обмена. Остановите все фоновые задачи

bitrix Произошла ошибка на стороне сервера. Получен неизвестный статус импорта.Ответ сервера:MySQL Query Error!Ответ сервера: MySQL Query Error!

Возможно эти ошибки уйдут, если проверите:

1) Нет места на ж/д на хостинге

2) Превышено количество файлов/папок в каталоге upload

3) Уже фоново выполняется в 1с процесс обмена. Остановите все фоновые задачи

WEB

PostgreeSQL: бекап и востановление таблиц по маске

30.05.2022 Павел Грибов Оставить комментарий

Задача: сделать бекап таблиц по маске и их восстановление

Решение:

для создания бекапа добавим ключи:

—if-exists — если есть, то удалить таблицу

—inserts — вместо copy использовать nsert

-c — очистка данных перед вставкой

pg_dump  --table=xyz* -Fc --file=ocpi.dump2 база-dev -U юзер_pg --if-exists --inserts -c

pg_restore --dbname база -Fc ocpi.dump2 -U юзер_pg

pg_dump --table=xyz* -Fc --file=ocpi.dump2 база-dev -U юзер_pg --if-exists --inserts -c

pg_restore --dbname база -Fc ocpi.dump2 -U юзер_pg

bitrix

Bitrix: восстановление пароля администратора

25.05.2022 Павел Грибов Оставить комментарий

Задача: восстановить утерянный пароль администратора

Решение 1: создать в корне сайта файл вида:

<?php
require($_SERVER["DOCUMENT_ROOT"] . "/bitrix/header.php");
global $USER;
$USER->Authorize(1);
LocalRedirect("/bitrix/admin/");

<?php

require($_SERVER["DOCUMENT_ROOT"] . "/bitrix/header.php");

global $USER;

$USER->Authorize(1);

LocalRedirect("/bitrix/admin/");

, где вместо цифры 1 можно использовать id вашего пользователя. Но обычно подходит и 1. Далее необходимо его открыть в браузере

Решение 2: если мы помним логин, и есть доступ к БД, то

Ищем id пользователя с правами администратора:

select * from b_user_group where USER_ID IN (select id from b_user where email like "%vasya%") and GROUP_ID=1;

1	select * from b_user_group where USER_ID IN (select id from b_user where email like "%vasya%") and GROUP_ID=1;

Меняем пароль на любимый:

 UPDATE `b_user` SET `PASSWORD` = MD5('test') WHERE `ID`=3;

1	UPDATE `b_user` SET `PASSWORD` = MD5('test') WHERE `ID`=3;

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

ЖЗГ

Архив рубрики: Павел

Логирование и аудит потенциально опасных событий на сервере Linux

Диалоговые окна на boostrap5 + jquery

ТиС: ошибка обмена с сайтом Bitrix

PostgreeSQL: бекап и востановление таблиц по маске

Bitrix: восстановление пароля администратора

Жизнь замечательных грибов