Лига сисадминов

Let's Encrypt обновила пользовательское соглашение, запретив использование сертификатов в странах под санкциями США Let's Encrypt - крупнейший бесплатный центр сертификации, обеспечивающий HTTPS-сертификаты для сотен миллионов сайтов, - обновила своё пользовательское соглашение, включив прямой запрет на использование сертификатов на территориях, подпадающих под американские санкции. Новость мгновенно взлетела в топ на Hacker News и вызвала бурную дискуссию. Чтобы потушить пожар, в комментарии пришел официальный представитель проекта и прояснил позицию. Тезисно она звучит примерно так: - Обычных пользователей это почти не затронет. Большинство американских санкций направлено против правительств конкретных стран, а не их населения. (тут владельцы Homelab могут выдохнуть, но на всякий случай не до конца). - Сервис остается доступным. Проект «продолжает быть доступен почти для всех уязвимых групп населения в мире». - Это просто бюрократия. Обновление текста нужно лишь для того, чтобы «лучше отразить юридические требования» США, и оно не несет за собой радикальных изменений в работе сервиса. Итог: Сильно лучше после объяснения не стало. Закручивание гаек официальное, и никуда от этого не деться. Но к счастью на практике судя по всему для 99% рядовых пользователей и мелких проектов ничего не изменится. #ит_новости #letsencrypt #certificates

SSH + tmux: Настраиваем неубиваемый удаленный доступ Будем честны: после стольких лет в администрировании, если бы мне пришлось выбрать всего один незаменимый инструмент, это определенно был бы SSH. Эта штука - буквально мастер-ключ от мира Linux: удаленный вход, передача файлов, проброс портов и даже обход файрволов. А если добавить к нему tmux - идеального напарника - то вы получите тот самый ультимативный опыт в администрировании под девизом "подключился и никогда не теряешь связь". Сегодня мы детально разберем SSH со всех сторон: от базовой настройки до всяких хитрых трюков. Гарантирую, после прочтения вы выйдете на новый уровень понимания SSH. https://telegra.ph/SSH--tmux-Nastraivaem-neubivaemyj-udalennyj-dostup-06-09 #ит_статьи #devops #linux #tmux #ssh #ntwork

Cloudforce One в Cloudflare WAF: Threat Intelligence прямо в правилах Cloudflare интегрировал индикаторы угроз от своей исследовательской команды Cloudforce One непосредственно в движок WAF. Теперь можно писать кастомные правила, опираясь не только на сигнатуры и геолокацию, но и на данные threat intelligence в реальном времени - без сторонних фидов и ручного обновления списков. Как оно работает При каждом запросе WAF на краю сети (Edge) выполняет lookup по IP-адресу источника и обогащает его контекстными полями cf.intel.*. Данные делятся на два уровня: 1. Thesis - глубокая атрибуция от Cloudforce One (результат активных киберисследований): - is_malicious - флаг «IP-адрес зловредный»; - threat_class - класс угрозы (botnet, command_and_control, cryptominer, phishing, scanner, exploit_kit, brute_forcer, tor, proxy); - attack_group - конкретная хакерская группировка (APT29, Lazarus Group, FIN7); - malware_family - семейство ВПО (Emotet, QakBot, TrickBot, Cobalt Strike); - confidence_score - уровень уверенности системы (0–100); - tags - дополнительные метки (known_attacker, residential_proxy, vpn, datacenter_proxy). 2. Reputation - поведенческая репутация IP на основе глобального трафика Cloudflare: - ip_risk_score - общая оценка риска (0–100); - ip_category - категория (benign, suspicious, malicious, high_risk); - asn_name и asn_risk_score - данные об автономной системе и ее надежности. Примеры кастомных правил Блокировка ботнетов и C2-серверов:

cf.intel.thesis.threat_class in {"botnet" "command_and_control"}
# Действие: Block

Блокировка трафика от конкретного Threat Actor (например, APT29):

cf.intel.thesis.attack_group eq "APT29"
# Действие: Block

Комбинация класса угрозы с уровнем уверенности (Confidence):

cf.intel.thesis.confidence_score ge 80 and cf.intel.thesis.threat_class eq "brute_forcer"
# Действие: Block

Рейт-лимит для подозрительных IP с высоким риском:

cf.intel.reputation.ip_risk_score gt 60 and cf.intel.reputation.ip_category in {"suspicious" "high_risk"}
# Действие: Rate Limit (например, 10 req / 10s)

Что важно знать - Никакого lag'а: Cloudforce One ведет непрерывные исследования. Как только новая инфраструктура атакующих обнаружена, данные мгновенно попадают на Edge-узлы WAF без участия администратора. - Минимальная задержка: Все lookup-запросы происходят локально на краю сети Cloudflare, обработка запроса не замедляется. - Гибкость: Новые поля можно комбинировать с любыми привычными параметрами WAF (гео, URI, User-Agent, AS-номера). - Инфраструктура как код: Полная поддержка через Dashboard, API и провайдер Terraform. Доступность - Enterprise + Advanced Threat Intelligence add-on: полный доступ ко всем полям cf.intel.*. - Enterprise (базовый): доступны только поля репутации cf.intel.reputation.*. - Cloudflare One Enterprise: включено для клиентов с активной подпиской Cloudforce One. - Pro / Business: в планах. Сейчас можно запросить ранний доступ через аккаунт-менеджера. Резюме Это важный сдвиг в концепции защиты: от реактивного «ловим атаки по известным сигнатурам в запросе» к проактивному «блокируем инфраструктуру злоумышленников по ходу ее выявления». Практический смысл: если аналитики Cloudflare заматчили новые сервера Lazarus Group, ваш периметр защищен от них автоматически. Больше не нужно настраивать интеграции по STIX/TAXII, парсить кастомные фиды и переживать за лимиты IP-списков в файрволе. Такие дела. #ит_заметки #devops #cloudflare #infosec

Твой Kubernetes Pod постоянно ловит OOMKilled? В статье рассмотрим как это дабажить. Обычно всё начинается со стандартного алерта в Kubernetes посреди ночи: Pod OOMKilled (или что-нибудь в этом духе). Вы открываете Grafana и мгновенно узнаете этот паттерн: Потребление памяти медленно растет часами. Под падает. Kubernetes убивает процесс. Контейнер перезапускается. Затем это происходит снова и снова. kubectl top pods подскажет вам, какой именно под умирает. Но он почти ничего не скажет о том, почему это происходит. Самое паршивое - цифры часто не поддаются никакой логике. Ваш под, судя по метрикам, использует 1 ГБ памяти. Лимит установлен на 1.5 ГБ. А Kubernetes всё равно его убивает. В старом добром мире Linux отлаживать такое было легко: Зайти по SSH на тачку. Запустить top. Исследовать память через pmap. Найти утечку. Но современная инфраструктура изменила правила игры. Теперь ваше приложение работает внутри заблокированного distroless-контейнера, где нет ни оболочки (shell), ни инструментов отладки, ни возможности посмотреть, что вообще происходит внутри процесса. Так как же отлаживать утечку памяти в среде, которая изначально спроектирована так, чтобы мешать вам это делать? В этом руководстве мы разберем конкретные методы, которые SRE используют для расследования утечек памяти в Kubernetes, применяя внутренние механизмы Linux, pmap, smem, эфемерные контейнеры и eBPF. https://telegra.ph/Tvoj-Kubernetes-Pod-postoyanno-lovit-OOMKilled-V-state-rassmotrim-kak-ehto-dabazhit-06-08 #ит_статьи #devops #linux #kubernetes #debug #ebpf #pmap #smem #cgroups

InfraDev Community приглашает на InfraDev Meetup #4: про AI и не только Прямо сейчас мы наблюдаем как AI в SDLC меняет процесс разработки — об удачных примерах и кейсах поговорим в этот раз. Обсудим, как разрабатывать инфраструктурные сервисы с помощью AI и как построить MLOps-платформу для обучения моделей. И не только: пока AI не перестроил DevOps-цикл, классические вызовы сборки образов для виртуальных машин остаются актуальными. Спикеры ▫️Кирилл Фролов, эксперт-разработчик в отделе разработки базовых сервисов, VK Cloud, VK Tech ▫️Павел Шипилов, Старший разработчик ML Платформы в Avito ▫️Александр Александров, системный архитектор в направлении разработки и управления инфраструктурой, VK Cloud, VK Tech Подробнее о докладах читайте на странице мероприятия. Когда: 10 июня, с 18:00 до 23:59 Где: Москва, Ленинградский пр., 70, офис VK Tech, БЦ «Алкон» (количество мест ограничено). Приходите на встречу или участвуйте онлайн. Зарегистрироваться.

Коротко про IT рынок в 2026 году #ит_юмор #вакансии #hr

Zellij: Современный терминальный мультиплексор для Linux В мире Linux мультиплексоры терминалов являются важными инструментами для разработчиков, системных администраторов и опытных пользователей, поскольку они позволяют управлять несколькими сеансами терминала в одном окне, делая рабочий процесс более эффективным и организованным. Один из новейших и наиболее интересных мультиплексоров терминалов, доступных сегодня, - Zellij. Это мультиплексор терминалов с открытым исходным кодом, предназначенный для упрощения и улучшения работы в командной строке. В отличие от традиционных мультиплексоров, таких как tmux или screen, Zellij предлагает уникальную систему компоновки, простые в освоении сочетания клавиш и систему плагинов, которая позволяет настраивать программу. https://telegra.ph/Zellij-Sovremennyj-terminalnyj-multipleksor-dlya-Linux-06-08 #ит_статьи #linux #shell #multiplexer #zellij

Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04 Начиная с OpenSSH 9.7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. В Ubuntu 26.04 эта функция уже включена по умолчанию — даже если в sshd_config про неё ничего не написано. Предлагаю попробовать разобраться с тем, как это работает. https://telegra.ph/Fail2Ban-bolshe-ne-nuzhen-Razbiraem-PerSourcePenalties-v-OpenSSH-na-Ubuntu-2604-06-07 #ит_статьи #devops #linux #network #ssh #fail2ban

Нашел мод для Proxmox, который добавляет фичи, которых мне так не хватало „из коробки“ Время от времени я натыкаюсь на проекты с фичами, которые мне бы очень хотелось видеть в стандартном интерфейсе Proxmox. Сразу видно, когда такие инструменты создаются людьми, живущими не в стерильном мире демо-лабораторий с идеальной архитектурой, а теми, кто реально работал со стандартным функционалом и прекрасно знает все его «болячки» и узкие места. Недавно я наткнулся на проект под названием PVE-Electrified. Это не замена стандартного UI Proxmox, а скорее дополнение, ориентированное на владельцев серверов с Proxmox, которым тоже недостаточно дефолтного UI. Позвольте показать вам этот крутой интерфейс и фичи, которые он добавляет - те самые, которых мне так не хватало «из коробки». https://telegra.ph/Nashel-mod-dlya-Proxmox-kotoryj-dobavlyaet-fichi-kotoryh-mne-tak-ne-hvatalo-iz-korobki-06-06 #ит_статьи #devops #linux #proxmox #homelab #pve

Свежая критическая уязвимость в Linux: как один перевод строки даёт права root В библиотеке libinput, которая отвечает за обработку кликов и движений мыши во всех современных Linux-десктопах (привет и Wayland, и X.Org), нашли опасную дыру. Она позволяет выполнить произвольный код с максимальными правами в системе. Проблема кроется в хелпере libinput-device-group, который работает в связке с udev. Исследователь под ником Csome выяснил, что если создать виртуальное устройство (uinput/uhid) и засунуть в его имя (атрибут PHYS) обычный символ перевода строки (\n), udev сойдёт со ума. Вместо одной строчки он прочитает две разные пары «ключ-значение». Эта классическая инъекция открывает прямую дорогу к arbitrary root code execution. На первый взгляд эксплуатация почти бесполезна: чтобы создать такое устройство, обычно уже нужны права root. Но риск появляется там, где udev-правила расширяют доступ к /dev/uinput для обычного пользователя. Самый яркий пример - пакеты steam-devices, antimicrox и kdeconnectd из той же Fedora. Например steam-devices даёт обычному юзеру права на создание устройств. И вуаля: любой залогиненный геймер на Steam-машине получает легальный путь для захвата контроля над всей системой. Мейнтейнер libinput Питер Хуттерер уже подтвердил масштаб проблемы. Хорошим решением для всех будет срочно обновляться. Патч уже готов - уязвимость закрыта в версии libinput 1.31.3. #ит_заметки #security #linux #libinput #steam

GnuTLS на Ubuntu GnuTLS - это библиотека с лицензией LGPL, реализующая протокол Transport Layer Security (преемник SSL). Использование GnuTLS позволяет избежать проблем с лицензированием, которые могут возникнуть при работе с более распространенным пакетом OpenSSL. Именно по этой причине в последних релизах Ubuntu некоторые пакеты (например, OpenLDAP) компилируются с поддержкой GnuTLS вместо OpenSSL. В этом руководстве рассказывается, как использовать инструменты GnuTLS для генерации сертификатов, необходимых для проверки подлинности хостов и шифрования связи между клиентом и сервером. Перед прочтением гайда вам стоит ознакомиться с базовыми концепциями SSL/TLS. В Ubuntu Server Guide есть вполне достойное объяснение на этот счет. #ит_статьи #devops #ssl #gnutls #tls #security

Старые добрые ханойские башни #ит_статьи #алгоритмы #программирование

Как бизнесу снизить затраты на связь, повысить эффективность корпоративных коммуникаций и интегрировать CRM с АТС с помощью одного инструмента? 9 июня специалисты Network Technologies ответят на эти и другие вопросы на открытом вебинаре «Softswitch для бизнеса». 🗓 9 июня в 11:00 (мск) 🌐Онлайн Вместо сухой теории — практический взгляд на внедрение: какие задачи бизнеса решает Softswitch, как проходит интеграция, с какими запросами чаще всего приходят компании и на что стоит обратить внимание при переходе с существующих решений. Участие бесплатное, но нужно зарегистрироваться

Termix: Self-Hosted платформа «всё в одном» для управления серверами Селф-хостинг дает свободу, но вместе с ней приходит и ответственность. Запуск собственной инфраструктуры означает, что вам нужно постоянно следить за логинами, жонглировать кучей разных инструментов и следить за тем, чтобы всё оставалось безопасным и доступным. Termix создавался как раз для тех, кто ценит этот контроль, но хочет управлять всем без лишней головной боли. Это опенсорсная, бесплатная платформа, которую вы хостите у себя, так что каждая фича остается под вашей собственной крышей. https://telegra.ph/Termix-Self-Hosted-platforma-vsyo-v-odnom-dlya-upravleniya-serverami-06-03 #ит_статьи #devops #linux #self_hosting #homelab #termix

Kubernetes Dashboard уходит на покой - его сменяет Headlamp Проект Kubernetes Dashboard уходит в историю. На его место приходит Headlamp - новый стандартный UI для управления кластерами. Что сохраняется: привычные workflow - просмотр подов, деплойментов, сервисов, редактирование манифестов, масштабирование - всё на месте. RBAC работает как раньше. Что нового: - Мульти-кластерность - несколько кластеров в одном окне без переключения инструментов - Projects - группировка ресурсов по приложениям вместо хождения по спискам неймспейсов - Плагины - расширяемый UI: уже есть плагин для Flux (GitOps) и встроенный AI-ассистент - Гибкий деплой - работает и как in-cluster сервис, и как десктопное приложение, и оба варианта одновременно Подробный гайд по миграции обещают скоро, пока можно изучить на headlamp.dev. #ит_заметки #devops #kubernetes #dashboard #headlamp

Простое руководство по снимкам (snapshots) в Btrfs: с чего начать Итак, допустим, у вас запущен Debian/Ubuntu Server на файловой системе Btrfs, и вы хотите использовать функцию снимков для отката системы. Если вы вдруг не знали: снимки - это способ «заморозить» состояние файловой системы в определенный момент времени. Это позволяет вам вернуться к предыдущему снимку, например, если что-то пошло не так во время установки софта или вы случайно удалили файл. Снимки экономят дисковое пространство, потому что они хранят только различия между состояниями (если все сделано правильно). В этом руководстве я использую Ubuntu Server 24.04 LTS и том Btrfs с субтомами @ и @home для / и /home соответственно. Мой том Btrfs находится на /dev/mapper/root (потому что я использую dm-crypt для полного шифрования). https://telegra.ph/Prostoe-rukovodstvo-po-snimkam-snapshots-v-Btrfs-s-chego-nachat-06-02 #ит_статьи #linux #btfrs #snapshots #backup

Ребята! Остались последние дни подачи докладов на ежегодную конференцию по производительности ИТ-систем Перфоманс Конф 12 https://perfconf.ru. Если у вас есть реальный опыт, интересные кейсы — обязательно подавайте доклад.  Я уже иду (билет есть), так что с удовольствием послушаю вас. 🙌 Не стесняйтесь — это как раз та площадка, где можно поделиться практикой и получить классный фидбек. Темы этого года: ◾️ Нагрузочное тестирование ◾️ Хаос-инженеринг ◾️ Оптимизация производительности и тюнинг ◾️ Управление командами и лидерство ◾️ Практики SRE, мониторинга и обеспечение надежности систем ◾️ Практики использования ИИ для мониторинга, прогнозирования и анализа результатов тестирования ◾️ Тренды индустрии

Переименование ноды Proxmox VE - как простая операция может вызвать цепную реакцию Системным администраторам отлично знакомо это чувство: задача казалась пустяковой, буквально на пару минут, зайти и выйти. Нужно всего лишь переименовать хост. Ну что тут может пойти не так? Как вы узнаете дальше, пойти не так может очень многое. В этой заметке разберем случай с инстансом Proxmox VE, где смена имени хоста запустила цепочку событий, из-за которых все виртуалки стали недоступны. Ниже - разбор происходившего, поиск истинных причин, а также процесс отладки и исправления ситуации. https://telegra.ph/Pereimenovanie-nody-Proxmox-VE---kak-prostaya-operaciya-mozhet-vyzvat-cepnuyu-reakciyu-06-01 #ит_статьи #devops #proxmox #linux #pve #sqlite #troubleshooting

Инженеры перебрали... Linux-кейсов 🤩 У K2 Cloud и K2Тех вышла запись митапа по Linux — pебята разобрали реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А еще в конце дали специальный кейс для зрителей — можно решить его и забрать приз до 5 июня. Смотреть здесь

Куда делся мой под? Глубокое погружение в планирование в K8s В сегодняшней большой статье мы собираемся проследить весь путь планирования от начала до конца, так что устраивайтесь поудобнее и получайте удовольствие! https://telegra.ph/Kuda-delsya-moj-pod-Glubokoe-pogruzhenie-v-planirovanie-v-K8s-05-31 #ит_статьи #devops #kubernetes #architecture #sheduling #pod #troubleshooting