Типичный Сисадмин

23 апреля в 18:30 (мск) пройдёт офлайн-митап MWS Cloud Platform «Под капотом: инфраструктура». Также будет онлайн-трансляция. В программе доклады инженеров, которые ежедневно решают нетривиальные задачи при работе над инфраструктурными сервисами облака.  Вы сможете: — узнать, с какими сложными архитектурными задачами сталкивались, как выбирали технологии и почему принимали те или иные решения — подискутировать о разных подходах к решению схожих задач, задать вопросы,  поделиться своим опытом — понять, как лучше и эффективнее использовать облачные технологии для решения ваших рабочих задач После основной части — нетворкинг и угощения. Регистрируйтесь на митап! Это возможность обсудить нюансы, которые всплывают только в продакшене, и будут полезны на практике. 🗓23 апреля, начало в 18:30 📍Москва, Дом Культур, ул. Сретенка, 25 Вход бесплатный, но требуется регистрация и её подтверждение — количество мест ограничено. Зарегистрироваться

Пятница, 17:50. Ты решаешь, что один маленький секьюрити-патч точно ничего не сломает... одумайся, не нарушай главную заповедь ИТ 🙏 Типичный 🥸 Сисадмин

Выглядит как тюнингованная девятка из нулевых... блок питания вынесен вперед для улучшения развесовки по осям, а торчащие трубы кулера добавляют агрессивности 😂 Типичный 🥸 Сисадмин

— Алло, не могу говорить, регистрируюсь в партнерке Selectel, пока там повышенная ставка за рефералов

Регистрируйтесь и вы — первые три месяца Selectel выплачивает новым партнерам 20% от чека каждого приведенного реферала. А после ставка сохраняется на уровне от 10 до 15%, выплаты ежемесячные без потолка по сумме и сроку. Пока приглашенный вами клиент остается с Selectel, вы получаете регулярные проценты с его затрат. Партнером может стать как юридическое, так и физическое лицо. Выигрываете не только вы. Ваши рефералы получают надежного провайдера ИТ-инфраструктуры с шестью собственными дата-центрами, ассортиментом из 50+ продуктов, 17-летним опытом работы на рынке и бесплатной техподдержкой. Регистрируйтесь в партнерской программе Selectel до 31 мая и получайте 20% от чека ваших рефералов первые 3 месяца: https://slc.tl/8s524 Реклама. АО "Селектел". erid:2W5zFHVsogd

Нарушено главное негласное правило эпохи VGA:

НИКОГДА не закручивай эти синие винты до упора!

Иначе придет юзер с отверткой и устроит инквизицию 😱 @itmemas

⌨️ Тут безопасники из Censys устроили глобальное сканирование всех IPv4 адресов и принесли занимательную некромантию. Выяснилось, что в апреле 2026 года в открытом интернете всё еще болтается почти 6 млн хостов с голой жопой, торчащей наружу через 21-й порт.

Протокол FTP (RFC 959). Возраст 55 лет. Создан в те благословенные времена, когда интернет был маленьким, все друг друга знали 🌻. Передает логины, пароли и данные кристально чисто и открыто. Пациент уже фактически мертв, так как индустрия давно переехала на SFTP (который подсистема SSH, а не FTP) или объектные хранилища. На практике - пациент пока жив.

Популяция хоть и сократилась на 40% за последние два года, но 6 миллионов открытых серверов - это сильно. В основном эпидемия поддерживается теми, кто покупает VPS с накатанным cPanel, где Pure-FTPd (1.99 млн хостов) и ProFTPD (812 тыс.) поднимаются по дефолту. Настоящая археология начинается при детальном сканировании... найдено 1 744 сервера, на которых до сих пор крутится vsftpd версии 2.3.4. Олды могут пустят скупую слезу. Это та самая легендарная сборка из 2011 года, в исходники которой на SourceForge хакеры зашили бэкдор 🏴‍☠️. Если в качестве юзернейма отправить смайлик :), демон открывал рут-шелл на TCP-порту 6200. Жму руку тем, кто держит открыто уязвимость с бэкдором 15-летней давности. Пятнашка лет аптайма и патч-долга, Карл! 🥂 Самая эпичная часть отчета посвящена виндовым админам. Более 250 тысяч серверов крутят дефолтный Microsoft IIS FTP. В настройках IIS параметр controlChannelPolicy по дефолту выставлен в SslRequire. Админ смотрит в конфиг, видит, что TLS якобы принудительно включен, и идет пить пивчанский. НО! Параметр serverCertHash (привязка SSL-серта) по дефолту пустой 😶 Что делает IIS, когда к нему стучится клиент с командой AUTH TLS, но сертификата нет? Он выдает ошибку 534 Local policy on server does not allow TLS secure connections. Клиент думает... ну ок, раз TLS нельзя, давай по старинке... и отправляет пароль админа в открытом виде. Сервер его так же принимает! Более 150 000 серверов в мире прямо сейчас работают в режиме иллюзии безопасности... админы уверены, что включили FTPS, а по факту отдают данные в открытом виде. Из 6 миллионов серверов около 2.45 млн ВООБЩЕ не умеют в TLS-хендшейк. Резюме консилиума... в морг ⚰️ Типичный 🥸 Сисадмин

Источник бесперебойного ПРОПИТАНИЯ 🏥 Инженеры APC даже не подозревали. З.Ы. Подготовка к пятничному корпорату 🥩 Типичный 🥸 Сисадмин

Я вот скрафтил тактическую тыкалку из всех запасных креплений, что нашел в ящике стола 🙂 Позволяет дистанционно нажимать Reset #предложка А какая у вас сегодня степень загруженности на работе? Типичный 🥸 Сисадмин

Дай импульс своей карьере в YADRO 🔥 Стажировка Импульс – это не временный этап, а начало пути. По итогам Импульса прошлого года более 85% стажёров продолжили карьеру в компании. В YADRO можно попробовать себя в разработке, бизнесе и продуктовых ролях, в этом году открыто более 30 направлений:

🔵 C, системное программирование 🔵 Разработка на Go, Python, C++ 🔵 Тестирование 🔵 Математика и алгоритмы 🔵 Системное и сетевое администрирование, техподдержка 🔵 Проектный менеджмент и маркетинг 🔵 и еще 20+ направлений!

Что тебя ждет: 🔵 Настоящие задачи, а не учебные проекты 🔵 Работа с экспертами и участие в развитии технологических продуктов 🔵 Возможность предлагать идеи и влиять на продукт 🔵 Лекции от ведущих инженеров и преподавателей 🔵 Гибкий формат работы: офис, удалёнка или гибрид Кого мы ждем: *️⃣ Студентов вузов и ссузов очной формы обучения со 2 курса и старше *️⃣ Выпускников 2026 года, которые планируют продолжить обучение в магистратуре ➡️ Делись новостью с друзьями и приходи на вебинары 16 и 23 апреля, чтобы еще больше узнать про Импульс. Регистрация уже доступна на сайте.

🚧 Чебурнет выходит на аппаратный уровень. Расширение заграничных каналов связи заморожено ⚰️ Если ето думал, что бесконечные игры с DPI и шейпингом VPN-трафика это пик фантазии Минцифры, то снимаем шапочку из фольги. Нас ждут суровые законы физики. Как пишет РБК... топовые магистральные операторы подписали мораторий на расширение пропускной способности зарубежных каналов связи. В чем гениальность плана? Трафик внутри РФ стабильно растет на 20-30% в год. А с массовым исходом юзеров в VPN объем трансграничного трафика вообще улетел на +50% за только за 2025 год. Если раньше операторы просто докупали порты и расширяли оптику на западных узлах, чтобы пакеты бегали свободно, то теперь им это делать накладно. Рассудили просто... зачем тратить гигантские вычислительные мощности ТСПУ на фильтрацию терабитов зашифрованного мусора, если можно просто не дать этому мусору пролезть в страну? 🚫 Каналы переполнятся естественным путем. Начнутся дикие дропы пакетов, задержки улетят в сотни миллисекунд, а зарубежный интернет сам по себе превратится в медленное, лагучее болото. Но капитализм спешит на помощь, с нюансами конечно 🤑 ... поскольку расширять канал в Европу нельзя, транзитный зарубежный трафик (а любой VPN - это именно он) станет дефицитным ресурсом. Провайдеры будут вынуждены либо жестко резать его, отдавая приоритет коммерческим клиентам, либо вводить конские тарифы на доступ к забугору (тот самый налог на VPN 😭). Заодно лица принимающие решения надеются, что деградация каналов заставит зарубежные сервисы, которые еще хотят работать в РФ, перенести свои CDN-сервера внутрь страны (прямо под колпак СОРМ) 👮‍♂️ Это даже не Оруэлл, это какой-то кибер-Кафка 👾 Грустная история... законы физики и пропускной способности оптоволокна не обойдешь никаким хитрым протоколом или туннелем. Если канал забит, то зашифрованные пакеты будут стоять в очереди вместе со всеми. Как говорится... за здравие🕯 Готовимся к тому, что скоро зарубежный интернет будет грузиться со скоростью dial-up модема из начала нулевых. Запасаемся локальными кэшами и учитмся жить в уютном, изолированном цифровом интранете 🥺 Типичный 🥸 Сисадмин

Тот случай, когда старые бэкапы наконец-то принесли реальную пользу 👴 Типичный 🥸 Сисадмин

Переезд с Windows без кнопки «боль» разблокирован — всё на вебинаре по Astra Migration! «Группа Астра» анонсирует свой новый продукт, который автоматизирует переезд с Windows на Astra Linux. В программе вебинара: ✔️ Какие задачи решает Astra Migration. ✔️ Как администратору запланировать переход, настроить сценарии и волны миграции, отслеживать результаты. ✔️ Как уведомить работника о предстоящей миграции, чтобы не прервать бизнес-процессы. Самый большой блок посвящен живой демонстрации работы решения. Вы сможете сразу оценить Astra Migration в деле.

Пользователи спокойно переезжают на Astra Linux. Администраторы — выдыхают.

Когда: 23 апреля в 11:00 МСК 🔵 ЗАРЕГИСТРИРОВАТЬСЯ

Гоблин-инженер тащит лут в свою пещеру 🤬 Типичный 🥸 Сисадмин

💰 12 миллиардов выделено на новые ТСПУ Компания «РДП.РУ» (монопольный производитель ТСПУ) ВНЕЗАПНО получила финансовый буст поистине эпических масштабов. Материнская структура АО «Градиент» (которой владеет «Ростелеком») вкачала в разработчика почти 12 ярдов рублей. Сначала это оформили как мутный долг от неназванных участников, а в феврале 2026 года ловко провели допэмиссию акций и долг списали. Уставной и добавочный капиталы конторы взлетели в небеса. Зачем разработчику DPI-железок внезапно понадобился бюджет небольшой африканской страны? Всё просто. Минцифры приказало, чтобы к концу 2026 года через фильтры проходило 100% вообще всего российского трафика, а к 2030 году суммарную пропускную способность ТСПУ нужно раскачать до 954 Тбит/с 😶 Чтобы переваривать такие объемы данных и на лету рубить хитровыдуманные туннели, нужно очень много железа. Вот Ростелеком и накачивает свою дочку деньгами, чтобы та успела наклепать тысячи новых DPI-нод и распихать их по стойкам всех провайдеров страны. Война с телеграмом и VPN - это, оказывается, невероятно прибыльный бизнес 💰 Халявные отвалы блокировок из-за нехватки мощностей скоро закончатся. На 12 миллиардов рублей можно накупить столько всего, что ТСПУ смогут заглядывать не только в SNI-заголовки, но чью-то душу 🙂. Так что... думаем. Гонка вооружений переходит в тяжелую весовую категорию 💪 Типичный 🥸 Сисадмин

👺 Похоже джуны-пентестеры больше не нужны. Ребята из PurpleAILAB выкатили в опенсорс проект Decepticon - автономного ИИ-агента, который делает полноценный Red Teaming. Это полноценный многоагентный фреймворк на базе LangGraph, который имитирует реальный, выверенный процесс пентеста. Перед тем как отправить хотя бы один пакет, агент Soundwave генерирует полный пакет документации (RoE, ConOps, план деконфликтинга и OPPLAN) и только потом в дело вступают боевые агенты (Recon, Exploit, Post-Exploit) ⌨️ Внутри всё очень красиво и параноидально: 🟢Два физически (сетевых) изолированных контура. Менеджмент (LLM, БД) живет в одной сети, а боевой инстанс (Kali Linux sandbox) - в другой. Связь между ними идет через сокет Docker. Никаких утечек ключей. 🟢Агенты умеют работать в интерактивных консолях (Metasploit, Sliver C2) через персистентные tmux-сессии. ИИ сидит в шелле, ждет выхлопа данных и шлет Ctrl+C, Ctrl+Z, если что-то зависло. 🟢По дефолту завезли интеграцию с популярным C2-фреймворком Sliver (поднимается в отдельном контейнере). Агент умеет генерить импланты, раскидывать их по сети и собирать креды. Разрабы говорят, что конечная цель - создание вакцины для конкретного предприятия. Идея в том, чтобы натравить этого автономного ИИ-агента на корпоративную сеть 24/7, чтобы Blue Team непрерывно обучался на сгенерированных атаках ⚔️ ⚔️ Профессия джуна-пентестера, который умеет только запускать сканеры уязвимостей закончилась ⚰️ Типичный 🥸 Сисадмин

😶 ВНЕЗАПНО: Генпрокуратура просит легализовать доступ к смартфонам без ордера. Тут на заседании Совфеда генпрокурор РФ Александр Гуцан выдал потрясающую базу... оказывается, внесудебный доступ к мобильным устройствам граждан и централизованным базам IMEI невероятно упростил бы работу полиции. По логике ведомства, преступники нынче пошли хитрые... сидят за NATами, юзают даркнеты и анонимные симки. А ходить каждый раз в суд за бумажкой, чтобы получить легальный доступ к логам и деанону конкретной трубы - это неэффективный устаревший процесс. Гораздо удобнее дать доступ на чтение любых идентификаторов и содержимого устройств без всяких там судебных костылей. Кстати и не поспорить... это действительно удобно, но есть нюанс 😰 Правда, Гуцан тут же деликатно добавил, что конституционные права граждан нарушать нельзя, поэтому тут надо "тщательно проработать" 😱. Получается идеальный и грамотный баланс: мы вскроем вашу переписку без суда, но сделаем это максимально уважительно к Гражданам и Конституции. Как думаете, заявления генпрокурора это оговорка или это официальный анонс грядущего обновления? 🤔 Если примут, то получается, с точки зрения Матрицы 👾, твой смартфон это не твое личное пространство. Это выданный тебе в аренду аппаратный зонд, датчик телеметрии (GPS-трекер, микрофон и сниффер социальных связей), за который ты еще и сам платишь абонентку. И если этот зонд вдруг начинает скрывать логи за криптографией, значит, систему надо пропатчить на законодательном уровне. Удобство правоохранителей будет доминировать над приватностью био-юнита. Когда ордер для доступа перестанет быть нужным, ваша приватность будет обеспечивается исключительно стойкостью пароля при холодном старте системы... ну с само собой - анлоком до рута ⌨️ Еще один гвоздь в крышку гроба приватности ⚰️ Типичный 🥸 Сисадмин

🚧 Час икс наступил. Как и обещали, 15 апреля корпоративный антифрод крупнейших ру-сервисов перешел в боевой режим. Если кто заворачивает весь трафик (маршрут 0.0.0.0/0) в туннель, то приложухи выдают плашки "Доступ ограничен", "Нет интернета" или просто крутят бесконечный лоадер. Типичный 🥸 Сисадмин

👨‍🦳 Зачищается рынок от мелких провайдеров ради СОРМ Минцифры выкатило проект реформы телекома. В случае одобрения - цены на домашний интернет улетят вверх, а мелкие провайдеры отправятся на свалку истории 😢 Исторически российский телеком развивался как Дикий Запад. Любой толковый айтишник мог открыть ИП, кинуть опту по крышам спального района и демпинговать цены, отбирая клиентов у крупняка. Но решили эту вольницу прекратить. Правила меняются кардинально: 🟢 Оказывать услуги связи смогут только юрлица (ИП идут лесом). 🟢 Минимальный уставной капитал провайдера повышают с 10к рублей до 5–100 миллионов (зависит от типа лицензии). 🟢 Сами лицензии на связь становятся платными (от 1 до 50 млн рублей). 🟢 И... снимается мораторий на плановые проверки 😮 В чем был баг системы? Сейчас мелкий провайдер получает лицензию, а потом у него есть 1.5-2 года льготного периода на то, чтобы купить и поставить у себя дорогущую СОРМ-коробку. Что делали хитрые местечковые провайдеры? Они работали два года, собирали абонентскую плату, а перед дедлайном проверки просто банкротились и так далее по кругу. По новым правилам ты не имеешь права оказать услугу ни одному абоненту, пока не сдашь ФСБ полностью рабочий и подключенный узел СОРМ 👮‍♂️ Парадокс в том, что российский интернет стал таким доступным именно благодаря пионернетам из нулевых. Дикая конкуренция в каждом подъезде заставляла операторов тянуть гигабит за копейки и прислушиваться к пользователю. Теперь же рынок ждет монополизация. Мелкие домовые и региональные сетки не потянут такие вливания. Они будут вынуждены либо закрыться, либо продаться. Что мы имеем с гуся 🦆? Теперь, когда на рынке останется только несколько гигантов, на которых повесили затраты по закупке железа, эти затраты предсказуемо упадут на конечного юзера 😕 Типичный 🥸 Сисадмин

🧅Tor-ноды научат страдать амнезией. Если кто когда-нибудь мечтал поднять свою выходную ноду для сети Tor, чтобы нести в мир свободный интернет ☀️, то наверняка тебя останавливал один нюанс. Рано или поздно в твою дверь могут постучатся, с последующим дампом логов и тд. 👮 Разрабы Tor Project (в коллабе с параноиками из Osservatorio Nessuno) решили, что раз физический взлом серверов неизбежен, значит, нужно сделать его абсолютно бессмысленным. Они планируют пилить тотальный переход на бездисковые узлы, которые живут исключительно в оперативной памяти и забывают всё при первой же перезагрузке или выдергивании питания. Epic Win! Но архитектура Tor построена на системе репутации (это важно для статуса, альтруизма и в исследовательских целях... иного профита нет 🤑). Чем дольше твоя нода живет в онлайне и стабильно гоняет трафик, тем больше доверия и нагрузки она получает от сети. Эта репутация жестко привязана к долговременному криптографическому ключу идентификации, который лежит на диске. Если RAM-нода ребутается и теряет этот ключ, то она превращается в ноунейм-узел и начинает зарабатывать репутацию в сети с нуля. Встал вопрос... а как сохранить личность ноды без жесткого диска, чтобы ключ нельзя было скоммуниздить при физическом доступе к серверу? 🤔 Правильно, зашить его на аппаратном уровне. Разрабы предлагают юзать модуль (Trusted Platform Module). Ключ намертво запечатывается внутри крипточипа на материнке и привязывается к эталонному состоянию загрузчика и ОС. Если кто ВНЕЗАПНО изымает сервер и пытается загрузиться с левой флешки, подкидывая свой патченный образ ядра или просто выпаяет чип... то хэши не совпадут, и TPM откажет в доступе, наглухо заблокировав отдачу ключа 🚪 Но проблема в том, что TPM-чипы в массе своей не умеют аппаратно работать с ключами ed25519 (которые юзает Tor). Поэтому ключ всё равно приходится хранить в энергонезависимой памяти (NVRAM) самого TPM в зашифрованном виде. Теоретически, при наличии бюджета на электронные микроскопы и заряженную лабу, его всё еще можно оттуда выковырять 😱 Вторая боль - обновления. Как только владелец ноды накатываешь патч на ядро, хэш системы меняется. TPM видит изменения, ПАНИКУЕТ и блокирует ключ. Поэтому придется перед каждым апдейтом пересчитывать и переподписывать доверенные состояния загрузки. Сплошной гемор для тех, кто привык к apt-get upgrade. Самая безопасная информация - это та, которой физически не существует 👾 Типичный 🥸 Сисадмин