📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена»
Уже пишете код или администрируете серверы и хотите перейти на следующий уровень? Этот курс поможет уверенно войти в DevOps.
• Полный путь от Linux и сетей до Kubernetes: Docker, Git, GitLab CI/CD, Terraform, Ansible, Prometheus и Grafana
• Практика на реальных кейсах: настраиваем пайплайн, контейнеризацию и инфраструктуру кодом, выкатываем сервисы
• 180+ интерактивных заданий с автопроверкой — конфиги, манифесты прямо в браузере, в любое удобное время
• Итоговый pet-project: к финалу курса у вас будет рабочая инфраструктура с контейнерами, CI/CD и мониторингом
🎓 Сертификат по завершении — добавьте его в резюме или профиль LinkedIn
🚀 Прокачайте DevOps с пользой и удовольствием. Начните уже сегодня и получите скидку 25%, которая действительна в течение 48 часов
👉 Пройти курс на Stepik
Уже пишете код или администрируете серверы и хотите перейти на следующий уровень? Этот курс поможет уверенно войти в DevOps.
• Полный путь от Linux и сетей до Kubernetes: Docker, Git, GitLab CI/CD, Terraform, Ansible, Prometheus и Grafana
• Практика на реальных кейсах: настраиваем пайплайн, контейнеризацию и инфраструктуру кодом, выкатываем сервисы
• 180+ интерактивных заданий с автопроверкой — конфиги, манифесты прямо в браузере, в любое удобное время
• Итоговый pet-project: к финалу курса у вас будет рабочая инфраструктура с контейнерами, CI/CD и мониторингом
🎓 Сертификат по завершении — добавьте его в резюме или профиль LinkedIn
🚀 Прокачайте DevOps с пользой и удовольствием. Начните уже сегодня и получите скидку 25%, которая действительна в течение 48 часов
👉 Пройти курс на Stepik
🔥3❤2👎2🤣2🤡1
Как понять, что на сервере началось «TCP-обезвоживание»
Так называют ситуацию, когда у сервера забивается очередь half-open соединений — те, что застряли на стадии SYN → SYN/ACK, но не получили финальный ACK.
При большом количестве таких полуоткрытых коннектов сервер начинает «захлёбываться» и перестаёт принимать новые.
Как проверить, что очередь переполняется
1️⃣ Быстрый снимок состояния TCP:
Смотри на строки вида:
Если SYN-RECV растёт до сотен/тысяч — сервер близок к исчерпанию backlog.
2️⃣ Узнать лимит очереди:
Обычно это 128–1024.
Если half-open растут быстрее, чем сервер успевает их обрабатывать - начинается «обезвоживание».
🛠 Дополнительная диагностика
Посмотреть реальный backlog у сокета:
Смотри на recv-q и send-q — если recv-q забит под завязку, система физически не успевает завершать рукопожатия.
Проверить, есть ли DoS-подобная активность:
или фильтр по IP:
Если десятки/сотни SYN идут с одного диапазона - это уже картина атаки.
Так называют ситуацию, когда у сервера забивается очередь half-open соединений — те, что застряли на стадии SYN → SYN/ACK, но не получили финальный ACK.
При большом количестве таких полуоткрытых коннектов сервер начинает «захлёбываться» и перестаёт принимать новые.
Как проверить, что очередь переполняется
ss -s
Смотри на строки вида:
TCP: ...
...
1323 SYN-SENT
987 SYN-RECV
Если SYN-RECV растёт до сотен/тысяч — сервер близок к исчерпанию backlog.
cat /proc/sys/net/ipv4/tcp_max_syn_backlog
Обычно это 128–1024.
Если half-open растут быстрее, чем сервер успевает их обрабатывать - начинается «обезвоживание».
Посмотреть реальный backlog у сокета:
ss -lnt
Смотри на recv-q и send-q — если recv-q забит под завязку, система физически не успевает завершать рукопожатия.
Проверить, есть ли DoS-подобная активность:
watch -n1 "netstat -ant | grep SYN"
или фильтр по IP:
netstat -ant | awk '/SYN_RECV/ {print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | headЕсли десятки/сотни SYN идут с одного диапазона - это уже картина атаки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4👎1
K2 Cloud собирает сетевых инженеров на митап 🌐
28 ноября эксперты из K2 Cloud, Positive Technologies, Avitotech, Wildberries & Russ и Точка Банка встретятся на митапе «Поговорим про сети»
Что будем делать:
— разберем метрики, которые спасают продукт;
— научимся «гадать» по сетевым пакетам;
— сыграем в сетевую версию игры «100 к 1».
Опыт из очень разных инфраструктур и LinkMeUp в роли ведущего — регистрация по ссылке
28 ноября эксперты из K2 Cloud, Positive Technologies, Avitotech, Wildberries & Russ и Точка Банка встретятся на митапе «Поговорим про сети»
Что будем делать:
— разберем метрики, которые спасают продукт;
— научимся «гадать» по сетевым пакетам;
— сыграем в сетевую версию игры «100 к 1».
Опыт из очень разных инфраструктур и LinkMeUp в роли ведущего — регистрация по ссылке
❤1
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Зачем это нужно:
• чтобы обходить ограничение на размер eBPF-программы (4096 инструкций);
• чтобы собирать модульные eBPF-пайплайны из нескольких независимых программ;
• чтобы снижать overhead на переключение контекста между программами.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤3
Как понять, что контейнеры в Kubernetes не «падают», а их убивает OOM-killer
Его добивает OOM-killer, потому что контейнеру не хватает памяти.
Частые причины: лимиты ниже реального потребления или JVM без container-aware GC, которая считает, что у неё «доступно» больше RAM, чем есть.
Первое, что смотрим - события pod’а:
⏺ Если там всплывают OOMKilled или ContainerStatus OOMKilled, всё ясно.
Для подтверждения на ноде можно посмотреть системные логи ядра, где OOM-killer фиксирует, что именно он убил процесс:
⏺ Если же видите записи вроде Killed process <pid> (java) - значит, лимиты задушили контейнер.
Обычно помогает: увеличить limit, включить container-aware настройки JVM, либо перепроверить реальные пики использования через Metrics Server или cAdvisor.
Иногда pod выглядит как будто просто рестартуется: CrashLoopBackOff, несколько перезапусков подряд - но приложение на самом деле не падает само.
Его добивает OOM-killer, потому что контейнеру не хватает памяти.
Частые причины: лимиты ниже реального потребления или JVM без container-aware GC, которая считает, что у неё «доступно» больше RAM, чем есть.
Первое, что смотрим - события pod’а:
kubectl describe pod <pod> | grep -i oom
Для подтверждения на ноде можно посмотреть системные логи ядра, где OOM-killer фиксирует, что именно он убил процесс:
dmesg -T | grep -i kill
Обычно помогает: увеличить limit, включить container-aware настройки JVM, либо перепроверить реальные пики использования через Metrics Server или cAdvisor.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3
Джуны — всё, ИИ победил. По статистике BCG, за последний год компании выбросили на улицу 75% молодняка. При этом миддлам и сеньорам зарплаты подняли в 4 (!) раза.
Чтобы подняться до уровня элит в аномально короткие сроки — подпишитесь на легендарные каналы для айтишников:
Новости и инсайды
Фронтенд разработка
ИИ и биг дата
Node js
Вёрстка
Питон и нейросети
QA-тестировщики
Там раскрыли инфу из курсов общей стоимостью 5.000.000р в эксклюзивных пошаговых инструкциях. Пока остальные пойдут на дно якорем, вы войдете в 10% тех, кто сломал систему.
Чтобы подняться до уровня элит в аномально короткие сроки — подпишитесь на легендарные каналы для айтишников:
Новости и инсайды
Фронтенд разработка
ИИ и биг дата
Node js
Вёрстка
Питон и нейросети
QA-тестировщики
Там раскрыли инфу из курсов общей стоимостью 5.000.000р в эксклюзивных пошаговых инструкциях. Пока остальные пойдут на дно якорем, вы войдете в 10% тех, кто сломал систему.
👎13😁5❤3🤡3
Релиз nDPI 5.0: открытая система для глубокого анализа трафика стала ещё умнее
Команда ntop выкатили nDPI 5.0 - движок DPI, который используют в системах мониторинга и безопасности, чтобы определять реальные протоколы в трафике, даже если они работают на нестандартных портах.
В 5.0 завезли универсальный fingerprint (TCP-slеpcы + TLS-hash + JA4), улучшенный разбор шифрованного трафика, классификацию TLS/QUIC/HTTP с учётом имён хостов, расширенный FPC (определение по первому пакету) и лимит в 2¹⁶ протоколов.
⏺ Плюс пачка новых категорий, улучшенный анализ TLS, обновлённые списки ботов и разбор свежих протоколов - от Kick и Hamachi до Matter и Akamai.
Команда ntop выкатили nDPI 5.0 - движок DPI, который используют в системах мониторинга и безопасности, чтобы определять реальные протоколы в трафике, даже если они работают на нестандартных портах.
Это эволюция OpenDPI, переписанная, оптимизированная и допиленная до сотен поддерживаемых протоколов и десятков типов угроз.
В 5.0 завезли универсальный fingerprint (TCP-slеpcы + TLS-hash + JA4), улучшенный разбор шифрованного трафика, классификацию TLS/QUIC/HTTP с учётом имён хостов, расширенный FPC (определение по первому пакету) и лимит в 2¹⁶ протоколов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤3
Айтишник, присаживайся поудобнее: собрали для тебя подборку лучших каналов про ИИ, разработки и языки кода.
• Only GPT — твой гид по нейронкам, секретным функциям GPT 5.1 и способам обхода внутренней цензуры.
• Only Hack — канал профессионального хакера про приватность и безопасность.
• Only Apple — инсайды о новых девайсах Apple и утечки от разработчиков компании.
• Only Python — ТОП-1 бесплатные материалы по питону в Интернете.
• Only IT — прорывные стартапы, которые задают тренды в индустрии.
• Only GitHub — всякие полезности (и бесполезности) с Гитхаба.
• Only Tech — все самые свежие и актуальные технологии.
• Ну и мемасики про IT конечно
Сохраняй в подписках!
• Only GPT — твой гид по нейронкам, секретным функциям GPT 5.1 и способам обхода внутренней цензуры.
• Only Hack — канал профессионального хакера про приватность и безопасность.
• Only Apple — инсайды о новых девайсах Apple и утечки от разработчиков компании.
• Only Python — ТОП-1 бесплатные материалы по питону в Интернете.
• Only IT — прорывные стартапы, которые задают тренды в индустрии.
• Only GitHub — всякие полезности (и бесполезности) с Гитхаба.
• Only Tech — все самые свежие и актуальные технологии.
• Ну и мемасики про IT конечно
Сохраняй в подписках!
❤3
Почему Windows 10/11 не запускает EXE, скачанные из интернета
SmartScreen часто ругается на «неизвестного издателя», хотя файл нормальный.
Причина тут скрытая метка Mark of the Web: Windows добавляет поток Zone.Identifier, если файл пришёл из интернета.
Проверить и снять блокировку можно так:
На Powershell👇
👇
После удаления MOTW SmartScreen перестаёт воспринимать файл как «подозрительный».
SmartScreen часто ругается на «неизвестного издателя», хотя файл нормальный.
Причина тут скрытая метка Mark of the Web: Windows добавляет поток Zone.Identifier, если файл пришёл из интернета.
Проверить и снять блокировку можно так:
На Powershell
# Показать все альтернативные потоки файла
Get-Item .\file.exe -Stream *
# Удалить метку Mark of the Web
Unblock-File .\file.exe
:: Через Sysinternals
streams.exe file.exe
:: Удалить Zone.Identifier
streams.exe -d file.exe
После удаления MOTW SmartScreen перестаёт воспринимать файл как «подозрительный».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤4🤔2🔥1
👩💻 Открытый урок «Custom Resource Definitions (CRD) в Kubernetes. Операторы: автоматизация на новом уровне».
🗓 3 декабря в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «Инфраструктурная платформа на основе Kubernetes».
Программа вебинара:
✔️ Что такое Custom Resource Definitions (CRD) и зачем они нужны.
✔️ Как создать и зарегистрировать собственный CRD.
✔️ Примеры использования CRD в продакшн-кластерах.
✔️ Что такое операторы, их роль и принципы работы.
✔️ Как CRD и операторы помогают автоматизировать управление ресурсами и снижать нагрузку на инженеров.
В результате вебинара:
- Поймёте, как с помощью CRD и операторов расширять возможности Kubernetes.
- Научитесь автоматизировать управление пользовательскими ресурсами и упрощать поддержку инфраструктуры.
- Получите базу для создания собственных операторов и интеграции их в CI/CD.
🔗 Ссылка на регистрацию: https://otus.pw/KKYG/?erid=2W5zFJ8yHNp
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
🗓 3 декабря в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «Инфраструктурная платформа на основе Kubernetes».
Программа вебинара:
✔️ Что такое Custom Resource Definitions (CRD) и зачем они нужны.
✔️ Как создать и зарегистрировать собственный CRD.
✔️ Примеры использования CRD в продакшн-кластерах.
✔️ Что такое операторы, их роль и принципы работы.
✔️ Как CRD и операторы помогают автоматизировать управление ресурсами и снижать нагрузку на инженеров.
В результате вебинара:
- Поймёте, как с помощью CRD и операторов расширять возможности Kubernetes.
- Научитесь автоматизировать управление пользовательскими ресурсами и упрощать поддержку инфраструктуры.
- Получите базу для создания собственных операторов и интеграции их в CI/CD.
🔗 Ссылка на регистрацию: https://otus.pw/KKYG/?erid=2W5zFJ8yHNp
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
❤1
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Зачем это нужно:
• Уменьшается количество записей в таблице страниц (page table),
• Снижается нагрузка на TLB (Translation Lookaside Buffer),
• Уменьшается overhead при управлении памятью, особенно в базах данных и JVM.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4👎4
Открытая конференция GetNet уже начинается — подключайтесь онлайн.
Конфа для сетевиков и сисадминов - говорим о сетях, делимся опытом, разбираем кейсы и отвечаем на вопросы
Что будет:
- Особенности дизайна Wi-Fi сетей для разных сценариев
- Планируем Wi-Fi. Руководство "Как обмануть заказчика"
- Wi-Fi. Вопросы безопасности. Защита периметра
- Как построить МОЩНЫЙ прод и что этому может помешать?
и др.
Подключайся. Начинаем в 11-00
Конфа для сетевиков и сисадминов - говорим о сетях, делимся опытом, разбираем кейсы и отвечаем на вопросы
Что будет:
- Особенности дизайна Wi-Fi сетей для разных сценариев
- Планируем Wi-Fi. Руководство "Как обмануть заказчика"
- Wi-Fi. Вопросы безопасности. Защита периметра
- Как построить МОЩНЫЙ прод и что этому может помешать?
и др.
Подключайся. Начинаем в 11-00
❤1
Какой признак чаще всего говорит о переполнении таблицы conntrack в Linux?
Anonymous Quiz
3%
Периодические ошибки DNS
26%
Большое количество SYN_RECV соединений
65%
Частые dmesg-сообщения: “nf_conntrack: table full, dropping packet”
6%
Высокая нагрузка на CPU после обновления ядра
❤7😁4👍2
И все твои данные перепродаются сотни раз, пока не попадут в руки недоброжелателей.
Чтобы избежать таких ситуаций в будущем и начать что-то понимать в IT – сохраняй каналы:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2😁1🤡1
Почему HAProxy начинает отдавать 503, хотя backend «зелёный»
Классика: health-checks проходят, backend в статусе UP, но под нагрузкой он отвечает чуть медленнее → HAProxy не дожидается ответа и срабатывает timeout server.
В результате клиенты получают 503, хотя сам сервис жив.
Как диагностировать:
hrsp_5xx + рост srv_abrt в статистике почти всегда указывают на проблему с медленным backend’ом, а не на «падение».
Классика: health-checks проходят, backend в статусе UP, но под нагрузкой он отвечает чуть медленнее → HAProxy не дожидается ответа и срабатывает timeout server.
В результате клиенты получают 503, хотя сам сервис жив.
Как диагностировать:
# Смотреть счётчики ответов, особенно hrsp_5xx
echo "show stat" | socat stdio /run/haproxy/admin.sock | column -s, -t | grep -v '^#'
# Увеличить таймауты сервера (пример)
timeout server 5s
timeout connect 2s
hrsp_5xx + рост srv_abrt в статистике почти всегда указывают на проблему с медленным backend’ом, а не на «падение».
❤7👍3
Производительные или и выгодные базы данных в облаке
Безопасные, масштабируемые и отказоустойчивые базы данных — одна из ключевых потребностей любого проекта. Именно такие предлагает Selectel. СУБД под разные запросы: от универсальной PostgreSQL до поисковой и аналитической БД Opensearch
Новые клиенты сейчас могут получить до 30 000 бонусов на использование облачных баз данных Selectel. Провайдер гарантирует:
🔹Высокую производительность. Выбирайте оптимальную конфигурацию кластера на базе мощного железа и локальных NVMe-дисков.
🔹Надежность. Автоматические бесплатные бэкапы с восстановлением вплоть до секунды — на стороне Selectel. А создать отказоустойчивый кластер можно всего от двух нод и сэкономить до 33%.
🔹Гибкое масштабирование. При росте нагрузки можно поменять конфигурацию облачного сервера и количество реплик без простоя.
Успейте зарегистрироваться и оставить заявку на участие в акции, чтобы протестировать сервис бесплатно: https://slc.tl/alrjy
Реклама. АО "Селектел". erid:2W5zFHGSJtx
Безопасные, масштабируемые и отказоустойчивые базы данных — одна из ключевых потребностей любого проекта. Именно такие предлагает Selectel. СУБД под разные запросы: от универсальной PostgreSQL до поисковой и аналитической БД Opensearch
Новые клиенты сейчас могут получить до 30 000 бонусов на использование облачных баз данных Selectel. Провайдер гарантирует:
🔹Высокую производительность. Выбирайте оптимальную конфигурацию кластера на базе мощного железа и локальных NVMe-дисков.
🔹Надежность. Автоматические бесплатные бэкапы с восстановлением вплоть до секунды — на стороне Selectel. А создать отказоустойчивый кластер можно всего от двух нод и сэкономить до 33%.
🔹Гибкое масштабирование. При росте нагрузки можно поменять конфигурацию облачного сервера и количество реплик без простоя.
Успейте зарегистрироваться и оставить заявку на участие в акции, чтобы протестировать сервис бесплатно: https://slc.tl/alrjy
Реклама. АО "Селектел". erid:2W5zFHGSJtx
❤3
Microsoft усиливает защиту входа в Entra ID от скриптовых атак
Microsoft объявила, что с октября 2026 года вход в Entra ID через браузер получит жёсткую Content Security Policy: скрипты будут загружаться только с доверенных Microsoft-доменов, а любые встроенные или внешние вставки кода - блокироваться.
Изменения затронут лишь входы по login.microsoftonline.com. Компания просит организации протестировать свои сценарии заранее и отказаться от расширений и утилит, которые внедряют код - после обновления они просто перестанут работать.
Мера входит в программу Secure Future Initiative по ужесточению безопасности Microsoft-сервисов.
Microsoft объявила, что с октября 2026 года вход в Entra ID через браузер получит жёсткую Content Security Policy: скрипты будут загружаться только с доверенных Microsoft-доменов, а любые встроенные или внешние вставки кода - блокироваться.
Это должно закрыть атаки, основанные на внедрении скриптов на страницу логина.
Изменения затронут лишь входы по login.microsoftonline.com. Компания просит организации протестировать свои сценарии заранее и отказаться от расширений и утилит, которые внедряют код - после обновления они просто перестанут работать.
Мера входит в программу Secure Future Initiative по ужесточению безопасности Microsoft-сервисов.
👍5🔥3❤1
Выживаем в условиях ограниченной доступности - DevOps, SRE, сисадмины, архитекторы и инженеры, этот практикум для вас!
3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет:
👨💻как правильно выстроить пайплайн CI/CD
👨💻как организовать DNS, ingress и балансировку
👨💻как проектировать архитектуры кластера и сетевого взаимодействия
После Практикума “Kubernetes в закрытом контуре”:
✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа
✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре
✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения
✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes
Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/3f9af9fb985b
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJNPCmW
3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет:
👨💻как правильно выстроить пайплайн CI/CD
👨💻как организовать DNS, ingress и балансировку
👨💻как проектировать архитектуры кластера и сетевого взаимодействия
После Практикума “Kubernetes в закрытом контуре”:
✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа
✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре
✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения
✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes
Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/3f9af9fb985b
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJNPCmW
❤3👍1👎1
Honeypot на Ubuntu: ловим злоумышленников в реальном времени
Honeypot — это поддельная система, созданная для того, чтобы выманивать злоумышленников и отслеживать их поведение. В отличие от фаерволов, это не просто защита, а способ разведки: кто, откуда и что делает.
Один из самых простых и рабочих способов — использовать Cowrie, который имитирует SSH-доступ и shell.
Установка и настройка Cowrie:
1️⃣ Создаём изолированного пользователя:
2️⃣ Устанавливаем зависимости и клонируем:
3️⃣ Настраиваем среду и запускаем от имени пользователя:
4️⃣ По умолчанию SSH доступ доступен на порту 2222.
5️⃣ Добавляем fail2ban фильтр по логам cowrie.log, чтобы блокировать IP, если они что-то активное ломают.
6️⃣ Опционально: логируем вход через PAM:
В /etc/pam.d/sshd добавляем:
Где login_notify.sh может отправлять оповещения в Telegram или писать в отдельный лог.
Honeypot — это поддельная система, созданная для того, чтобы выманивать злоумышленников и отслеживать их поведение. В отличие от фаерволов, это не просто защита, а способ разведки: кто, откуда и что делает.
Один из самых простых и рабочих способов — использовать Cowrie, который имитирует SSH-доступ и shell.
Установка и настройка Cowrie:
sudo adduser --disabled-password cowrie
sudo apt install git python3-venv libssl-dev libffi-dev build-essential
git clone https://github.com/cowrie/cowrie.git /opt/cowrie
cd /opt/cowrie
sudo chown -R cowrie:cowrie .
sudo -u cowrie bash
cd /opt/cowrie
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt
cp etc/cowrie.cfg.dist etc/cowrie.cfg
bin/cowrie start
В /etc/pam.d/sshd добавляем:
session optional pam_exec.so /usr/local/bin/login_notify.sh
Где login_notify.sh может отправлять оповещения в Telegram или писать в отдельный лог.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤2🔥1
Как понять, что сеть не «умерла», а всё уткнулось в ARP-cache
Когда хост переполняет ARP-таблицу (обычно на LXC/KVM-нодах с кучей виртуалок), он банально перестаёт добавлять новые ARP-записи.
Внешне это выглядит как хаос: одни IP пингуются, другие - нет, пакеты то проходят, то «теряются», сервисы будто рандомно падают.
На самом деле сеть жива - просто таблица забита.
Как проверить:
Что делать:
➖ увеличить лимиты:
➖ проверить, не генерирует ли лишний ARP-флуд контейнер или мост;
➖ перезапустить «шумящий» namespace или виртуалку, если ARP-таблица быстро восстанавливается.
Когда хост переполняет ARP-таблицу (обычно на LXC/KVM-нодах с кучей виртуалок), он банально перестаёт добавлять новые ARP-записи.
Внешне это выглядит как хаос: одни IP пингуются, другие - нет, пакеты то проходят, то «теряются», сервисы будто рандомно падают.
На самом деле сеть жива - просто таблица забита.
Как проверить:
ip -s neigh # ищем INCOMPLETE и FAILED
ip neigh show | wc -l # сколько реальных записей
cat /proc/sys/net/ipv4/neigh/default/gc_thresh3 # максимальный размер ARP-cache
dmesg | grep -i arp # бывают явные предупреждения
Что делать:
sysctl -w net.ipv4.neigh.default.gc_thresh1=4096
sysctl -w net.ipv4.neigh.default.gc_thresh2=8192
sysctl -w net.ipv4.neigh.default.gc_thresh3=16384
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5