[Решено] Защита от брутфорса админки WordPress в Docker с помощью Fail2Ban

[Решено] Защита от брутфорса админки WordPress в Docker с помощью Fail2Ban

Fail2Ban wp-admin docker

Fail2Ban – это программная среда, предназначенная для предотвращения вторжений, защищающая серверы от атак методом перебора.Fail2Ban работает, отслеживая файлы журналов (например, /var/log/auth.log, /var/log/apache/access.log и т. Д.) для выбранных сервисов и запускает сценарии на их основе. Чаще всего используется для блокировки выбранных IP-адресов, которые могут принадлежать хостам, которые пытаются нарушить безопасность системы.

Установка Fail2Ban была …

Настройка отказоустойчивого кластера PostgreSQL в Linux

Настройка отказоустойчивого кластера PostgreSQL в Linux

PostgreSQL Cluster

Отказоустойчивость PostgreSQL обеспечивается переключением ролей сервера с Реплики на Мастер СУБД и механизмом потоковой репликации, позволяющим передавать изменения с ведущего сервера на ведомые так, чтобы в каждый момент времени на ведомом сервере хранилась полная и консистентная копия базы данных.

Для настройки отказоустойчивости PostgreSQL будет использоваться следующее ПО:

OS: Deiban 11 или 12

Patroni

Etcd

Keepalived

Pgbouncer

Haproxy

Тестовый стенд развернут на системе виртуализации …

Подключаем Elasticsearch к WordPress, настройка плагина ElasticPress (Autosuggest) для Nginx

Подключаем Elasticsearch к WordPress, настройка плагина ElasticPress (Autosuggest) для Nginx

WordPress + Elasticsearch

Elasticsearch – быстрое, распределенное, масштабируемое решение с открытым кодом, предназначенное для управления поисковым контентом. Elasticsearch можно легко масштабировать за счет его распределенной архитектуры.

Устанавливаем Elasticsearch на сервер. На момент написания статьи ElasticPress совместим с Elasticsearch не выше версии 7.10.Если ваша система с WordPress в Docker исполнении, часть конфига из docker-composer:

$ nano docker-composer.yml

elasticsearch:

[Решено] Расширить корневой LVM-раздел. Еще один способ

[Решено] Расширить корневой LVM-раздел. Еще один способ

Root LVM resize

Менеджер логических томов — подсистема операционных систем Linux и OS/2, позволяющая использовать разные области одного жёсткого диска и/или области с разных жёстких дисков как один логический том. Реализована с помощью подсистемы device mapper. 

Исходные данные:

ОС: Debian 11

Тип разделов: MBR

Файловая система: XFS

Как видно из разметки, диск SDA увеличили.

При попытке расширить корневой раздел через growpart появлялась …

SSO авторизация в Netbox через Keycloak

SSO авторизация в Netbox через Keycloak

SSO Netbox + Keycloak

Netbox — веб приложение с открытым исходным кодом, разработанное для управления и документирования компьютерных сетей. Изначально Netbox придуман командой сетевых инженеров DigitalOcean специально для системных администраторов.

Ранее была опубликована стать по установке Netbox

так же ранее была опубликована статья по установке Keycloak

Настройка Keycloak

В вэб-админке Keycloak создаем новую область (realm), например itdraft, в ней настраиваем либо …

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Настройка Blackbox Exporter для мониторинга HTTP, TCP, ICMP

Prometheus + Blackbox Exporter (HTTP, TCP, ICMP)

Blackbox exporter — экспортер для Prometheus, который реализует сбор метрик внешних сервисов через HTTP, HTTPS, DNS, TCP, ICMP. Основное предназначение – проверять SSL-сертификаты и уведомлять (с помощью Alertmanager) о том, что срок действия сертификата завершается. 

Установка Prometheus была рассмотрена в одной из предыдущих статей

Установка и настройка Blackbox Exporter

Добавляем пользователя и создаем …

[Решено] SSO Kerberos авторизация в Keycloak

[Решено] SSO Kerberos авторизация в Keycloak

SSO + Kerberos + Keycloak

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический разделяемый секрет, при условии, что пакеты, проходящие по незащищенной сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии …

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

Авторизация в Prometheus и Alertmanager через OAuth2 Proxy и Keycloak

Prometheus, Alertmanager + OAuth2 Proxy, Keycloak

OAuth2 Proxy — это обратный прокси-сервер, который находится перед вашим приложением и обеспечивает аутентификацию OpenID Connect / OAuth 2.0 с использованием провайдеров идентификации (Google, GitHub, Keycloak и других).

Установка Keycloak была рассмотрена в одной из предыдущей статей

Установку Prometheus, Alertmanager и OAuth2 Proxy произвожу на одной ВМ под управлением Rocky Linux 9, …

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

[РЕШЕНО] LDAP-авторизация в PostgreSQL для FreeIPA

[HowTo] FreeIPA LDAP PostgreSQL

У нас развернута служба каталогов на FreeIPA. Требуется подключить LDAP-авторизацию в PostgreSQL для пользователей FreeIPA из определенной группы

Требования:

Должна быть настроена сетевая связанность по портам 389/tcp (LDAP) или 636/tcp (LDAPS) между сервером с PostgreSQL и FreeIPA

Во FreeIPA должна быть добавлена служебная учетная запись (postgresql_s)

Во FreeIPA должна быть создана группа пользователей, которым разрешен доступ …