Патчкорд

Большой каталог с утилитами безопасности для Linux. Присутствует небольшое описание каждой, нужные ссылки на проект, примеры исполнения.

Количество различных систем мониторинга сети такое, что даже имея достаточный опыт всё равно что-то большое пропускаешь. Читаешь статью как подружить NeDi и Observium (LibreNMS) и одним махом узнаешь про NeDi, Observium и его форк LibreNMS. Теперь придётся как минимум посмотреть что это.

Криптоманьяки делают своё дело - всё больше и больше инструментов которые пытаются упростить работу с шифрованием, учитывая все лучшие практики. Из совсем нового, даже ещё не выпущенного https://www.fluidkeys.com. Участвует автор бота рассылающего напоминалки о просроченных ключах. Блог и новости проекта https://www.fluidkeys.com/blog/ Если ещё не видели https://keybase.io то тоже стоит посмотреть: чат, публичное облако, хранилка ключей (в том числе и в облаке). Но по мне сыровата. Однако до сих порт это не совсем удобно, потому что заметно. По большому счёту gpg из командной строки удобна в не меньшей степени.

Помните в прошлом году ICANN хотела заменить мастер ключ KSK для всех DNSSEC зон, но так и не сложилось. В этом году будет попытка номер два - объявленная дата 11 Октября. Новый ключ KSK-2017 уже давно опубликован, будет выполнена только процедура замены старого KSK-2010, на новый. По этому поводу обновили документ с объяснениями чего ожидать. Предполагают что если что и сломается то затронет минимальное количество ресурсов и пользователей. Следить за всем процессом можно на странице данного проекта. Там же есть и расследование причин, почему в прошлом году не получилось. Безопасность как правило это лишние затраты, менять ключи необходимо, но эта такая дополнительная работа... C CAA вроде получше, но никто не шевелился всё равно до того момента как это стало обязательным, да и стало ли?

Nextcloud договорился с NEC и Waffle Computer о предустановке на роутеры NEC в Японии. Ожидают миллионный рост аудитории. Ломать ничего не будут, система остаётся открытой. То есть можно поднимать свои серверы и обмениваться с другими, подключаться в глобальное облако. В этом и есть фишка - федеративная сеть и полный контроль пользователя над своими данными (как минимум это декларируется).

Есть классика, которая работает всегда и стоит везде. А есть утилиты которые делают то же, но лучше, удобнее, красивее. Обзор нескольких утилит в замен стандартных, подробно расписывается что к чему с картинками и видео. Неполный список того что есть в обзоре: cat - bat ping - prettyping ^R - fzf top - htop diff - diff-so-fancy find - fd du - ncdu man - tldr grep - ack, ag ...

​Немного спонтанно купил Ultimate pack Unix stickers. Доехало за две недели, есть прямо крутые, но по большей части логотипы известных продуктов. Обычно такие покупки я пресекаю силой воли, иначе бы вся квартира была завалена хламом. Но ребёнок внутри иногда пробивается наружу поэтому хламом завалено всего лишь полквартиры: всевозможные Slinky, Magic8ball, Кубики Рубика, Handgum, лабораторные весы... Не менее чем за половину спасибо моему брату как подарки по всевозможным случаям, я ему отплачиваю тем же :) Вторая половина подарки на конференциях. 2x2 когда-то очень крутой набор наклеек подарил, почти со всеми культовыми персонажами мультиков и конечно они все показывают небезызвестный неприличный жест на пальцах.

Ядру Linux исполнилось 27 лет https://opennet.ru/49181/

Cloudflare к своему 1.1.1.1 приделали сброс кеша, для нетерпеливых админов которые хотят быть уверенными что всё обновилось. Правда ещё тысячи других DNS остаются. Статья про это в блоге Cloudflare.

Шпаргалки для iptables и несколько ссылок на утилиты, статьи и справочники.

Для фанатов терминала - табличный процессор, вот кто знает вдруг и правда пригодится. Там и графики есть и вообще всё что нужно. А в перерывах между отчётами можно в PacVim рубиться. Не сложный вариант - всего 18 команд, да и выход на q привязан.

​Когда админ БД закопался в логах MySQL и не видит закономерности событий на помощь приходит сетевой админ и запускает tcpdump. Собственно для этого и нужна команда, чтобы разные люди видели задачи с разных сторон и решали их эффективнее. Мониторинг это практически всё в нашей работе. Хотя в своё время в институте метрология была пожалуй самым скучным предметом, но что-то всё таки пригодилось. Мало данных не бывает, если не видишь системы - меняй масштаб. На картинке два графика, один из Zabbix масштабом 1 минута, другой из дампа Wireshark ~12 секунд из этого же периода шагом 10мс. Первого хватает в 99% случаев, а про то что можно построить второй забывать не стоит.

Qrator о мировой надёжности Интернета на Habr. Стоит конечно учитывать что это логическая схема и в большом масштабе, от региона к региону внутри страны и на физическом уровне всё выглядит чуть по другому. Стоит хотя бы вспомнить про ежегодные атаки тракторов, выводящие из Интернета полстраны. Наш рейтинг связности в IPv6 на Radar 8, а рейтинг по IPv4 чуть больше 6. При этом IPv6 у нас 1 физический аплинк, который предоставляет нам внутри себя доступ к IX по L2VPN. Т.е. обрыв одной магистрали превратит наш IPv6 в тыкву. А вот IPv4 не превратит, но рейтинг говорит о другом.

Не у всех устройств оказывается есть статический route-leak между VRF. У Cisco по этому поводу есть статья, как сделать по другому. Но это у Cisco, а мне пришлось простым PBR выкручиваться :( плюс к FIB минус к TCAM.

Детектор вредоносного трафика, использует общедоступные черные списки, отчёты антивирусов, эвристику. Можно ставить зеркалом или как приманку (honeypot). Выглядит внушительно, наверное, в некоторых случаях сможет заменить какой нибудь коммерческий IDS.

Looking Glass у хостеров. Много точек на карте по всему миру. Есть пинги и трейсы, возможность померить скорость путём скачивания файла, BGP - нет. На Хабр подробности что к чему.

Всё время забываю как посмотреть версию конкретного дистрибутива Linux. Почему этого нет в uname -a или в виде show version? Как всегда способ не один, но обычно хватает lsb_release -a. Подробнее для Centos и Ubuntu.

DNS трафик стал разменной монетой в эпоху тотального ухода в HTTPS. У нас это усугубляется необходимостью блокировок. И это к сожалению глобально, вот так мой домашний провайдер делает: $ dig @9.9.9.9 AAAA linkedin.com +short 2a02:2698:a002:1::3:17 Хорошо ещё IPv6 отдаёт (не тот конечно), часто именно блокировка IPv6 осуществляется только так, через подмену DNS ответа в котором AAAA вовсе нет. Ещё такое часто применяют для тарифов с нулевым балансом. С другой стороны если абонент не хочет пользоваться провайдерскими DNS ну что ж... А ещё с другой стороны если провайдер предоставляет DNS, то трафик-то всё равно абонентский, профессиональная этика и вообще. Ещё одна статья с обзором данного исследования - выход видится в шифровании DNS тоже.

Компилируемые языки сейчас для меня это наложить патч (случается раз в два, три года). IDE для этого не нужен. Самый сложный программный код который я пишу сейчас, занимает не более 2-3 стандартных экранов в любом редакторе, и как правило IDE для этого не нужен. На TecMint перечислены 18 IDE и редакторов кода для C/C++ (в общем это не важно, большинство продуктов имеет варианты и для других языков), не обошли стороной даже Vim и Emacs. Кое что упустили, но обзор строился на решениях для Linux. Для себя отметил что пробовал всё из перечисленного - удобны далеко не все. Но выбор можно сделать только самостоятельно, если в IDE или чем-то большем чем текущий текстовый редактор, действительно есть необходимость.

Ботнетописатели тоже люди на чём и попадаются, так как используют "красивые" IP адреса для временного назначения неиспользуемым доменам. В кеше Unbound нашлось вот такое: alkomagnit.net. 6815 IN A 1.1.1.1 b.reich.io. 43072 IN A 8.8.8.8 Можно сказать что ничего не нашлось, правда кеш живёт не так долго. Однако со стороны провайдера стоит скорее другая задача: поймать не головную часть, а участника ботнета - абонентское устройство. Потому что провайдер (хороший) должен заботиться о своём абоненте чтобы у него всё работало, чему ботнет не способствует. А ещё не позволять своим абонентам, осознанно или неосознанно, пакостить в сети. За полчаса мониторинга в ответах попадались пару раз 1.1.1.1, 5.5.5.5 и 8.8.8.8 это при 3000 в секунду. Только не забываем что эти адреса могут быть и вполне легитимными, а в остальном рабочий и не такой затратный способ опережающего действия.