Как ограничить пользователей от выключения сервера или изменения сети
Иногда обычные пользователи могут случайно или намеренно выключить сервер или сломать сетевые настройки.
✅ Вот такое решение
PolicyKit позволяет запретить конкретные действия для обычных юзеров - например, shutdown, reboot или изменение сетевых интерфейсов.
Systemd permissions помогут заблокировать сервисы, такие как shutdown.target или network.service, от запуска без прав администратора.
⏺ В sudoers можно оставить доступ только к нужным командам, исключив все критичные операции.
Пример проверки:
Такой подход позволяет юзерам работать с системой без риска «сломать» сервер или сеть.
Иногда обычные пользователи могут случайно или намеренно выключить сервер или сломать сетевые настройки.
Чтобы этого не происходило, можно настроить ограничения через системные механизмы.
PolicyKit позволяет запретить конкретные действия для обычных юзеров - например, shutdown, reboot или изменение сетевых интерфейсов.
Systemd permissions помогут заблокировать сервисы, такие как shutdown.target или network.service, от запуска без прав администратора.
Пример проверки:
pkcheck --action-id org.freedesktop.login1.power-off
systemctl status shutdown.target
Такой подход позволяет юзерам работать с системой без риска «сломать» сервер или сеть.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3🔥3
Бывает ли кибербезопасность удобной?
Как ускорить выдачу доступов, упростить расследование сбоев и забыть о постоянной смене паролей от уймы серверов? А заодно — защитить критичные ресурсы от взлома и случайных изменений?
Это возможно с PAM-системой, если она следит за балансом безопасности и удобства.
BI.ZONE PAM — решение, созданное с уважением к вашему пользовательскому опыту и основанное на концепции zero trust.
Смотрите короткие видео, чтобы самим оценить удобство ВI.ZONЕ PAM:
🔵 Подключение к защищаемым системам без паролей.
🔵 Кеширование MFA для ускорения массовых операций.
🔵 Подключение через терминальную ферму Linux.
🔵 Лицензии для старта и масштаба.
Как ускорить выдачу доступов, упростить расследование сбоев и забыть о постоянной смене паролей от уймы серверов? А заодно — защитить критичные ресурсы от взлома и случайных изменений?
Это возможно с PAM-системой, если она следит за балансом безопасности и удобства.
BI.ZONE PAM — решение, созданное с уважением к вашему пользовательскому опыту и основанное на концепции zero trust.
Смотрите короткие видео, чтобы самим оценить удобство ВI.ZONЕ PAM:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👎1
Linux 6.18 получил статус LTS — поддержка минимум до 2027 года
Linux 6.18 официально стал релизом с долгосрочной поддержкой.
Обновления для ветки будут выходить до декабря 2027 года, а срок могут продлить, как это уже было с LTS-ядрами 5.10, 5.4 и 4.19, которые сопровождали до шести лет.
Ядро 5.4 завершило поддержку в декабре 2025-го. Первый стабильный релиз 6.18 вышел 30 ноября, а выпуск Linux 6.19 ожидается в начале 2026 года.
Linux 6.18 официально стал релизом с долгосрочной поддержкой.
Обновления для ветки будут выходить до декабря 2027 года, а срок могут продлить, как это уже было с LTS-ядрами 5.10, 5.4 и 4.19, которые сопровождали до шести лет.
Сейчас активные LTS-ветки выглядят так: 6.18 и 6.1 поддерживаются до 2027 года, 6.12 и 6.6 до 2026-го, а 5.15 и 5.10 также до 2026-го.
Ядро 5.4 завершило поддержку в декабре 2025-го. Первый стабильный релиз 6.18 вышел 30 ноября, а выпуск Linux 6.19 ожидается в начале 2026 года.
👍8❤3
Как защитить важные файлы от случайного удаления
Даже опытные админы порой случайно стирают важные файлы😬
Чтобы такого не произошло, можно включить несколько уровней защиты.
Самый простой способ - сделать файл неизменяемым:
Теперь даже root не сможет его удалить или изменить без снятия атрибута.
Можно добавить ACL, чтобы ограничить права конкретных пользователей:
И не забывать про sudoers - разрешать только нужные команды, чтобы никто случайно не «сломал» систему.
Даже опытные админы порой случайно стирают важные файлы
Чтобы такого не произошло, можно включить несколько уровней защиты.
Самый простой способ - сделать файл неизменяемым:
chattr +i /путь/к/файлу
Теперь даже root не сможет его удалить или изменить без снятия атрибута.
Можно добавить ACL, чтобы ограничить права конкретных пользователей:
setfacl -m u:username:rx /путь/к/директории
getfacl /путь/к/директории
И не забывать про sudoers - разрешать только нужные команды, чтобы никто случайно не «сломал» систему.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤4🔥3
Почему контейнеры используют overlayfs поверх обычной ext4 или xfs?
Anonymous Quiz
12%
Для изоляции сетевых интерфейсов
75%
Для объединения слоев образа в одно файловое пространство
11%
Чтобы ограничить память контейнера
2%
Для сжатия логов в бинарный формат
❤6🔥4👍1
Это знак: пора переходить на российские ИТ-решения!
До 30 декабря 2025 года действуют специальные условия на покупку РЕД АДМ от компании РЕД СОФТ. Получите готовое решение для управления ИТ-инфраструктурой с максимальной выгодой.
РЕД АДМ поможет не только легко мигрировать ИТ-инфраструктуру на российский стек решений, но и автоматизировать рутинные задачи администратора.
📌 Вы получаете:
● Экономию — спеццена поможет оптимизировать затраты
● Удобство — комплексное решение для построения инфраструктуры с включенной техподдержкой
● Результат — работающую инфраструктуру без лишних сложностей.
🔗 Подробнее на сайте
Реклама. ООО "РЕД СОФТ". ИНН 9705000373.
До 30 декабря 2025 года действуют специальные условия на покупку РЕД АДМ от компании РЕД СОФТ. Получите готовое решение для управления ИТ-инфраструктурой с максимальной выгодой.
РЕД АДМ поможет не только легко мигрировать ИТ-инфраструктуру на российский стек решений, но и автоматизировать рутинные задачи администратора.
📌 Вы получаете:
● Экономию — спеццена поможет оптимизировать затраты
● Удобство — комплексное решение для построения инфраструктуры с включенной техподдержкой
● Результат — работающую инфраструктуру без лишних сложностей.
🔗 Подробнее на сайте
Реклама. ООО "РЕД СОФТ". ИНН 9705000373.
❤1🤡1
Почему виртуалки в KVM начинают лагать после миграции
Иногда мигрируешь VM на другой хост - всё «зелёное», CPU свободен, память есть… но виртуалка вдруг работает будто на тостере.
Теряются миллисекунды, проседает UI, базы дергаются.
Причина почти всегда одна - вместо железного CPU VM внезапно уезжает на софт-эмуляцию.
⏺ Что происходит: после миграции хост не может дать гостю ту же CPU-модель, что была раньше, и QEMU включает fallback на TCG - software emulation. А это сотни раз медленнее.
Как проверим:
Смотри на CPU-mode: если там qemu64 или что-то абстрактное вместо host-model, VM точно не использует реальные фичи процессора.
Иногда видно в логах:
⏺ Как пофиксить: На обоих хостах привести CPU-модель к единому виду: либо одинаковые процессоры, либо единая модель.
В конфиге VM выставить:
или (если железо 1-в-1)
Проверить, что включена аппаратная виртуализация:
Иногда мигрируешь VM на другой хост - всё «зелёное», CPU свободен, память есть… но виртуалка вдруг работает будто на тостере.
Теряются миллисекунды, проседает UI, базы дергаются.
Причина почти всегда одна - вместо железного CPU VM внезапно уезжает на софт-эмуляцию.
Как проверим:
virsh domcapabilities --domain <vm>
virsh dominfo <vm>
Смотри на CPU-mode: если там qemu64 или что-то абстрактное вместо host-model, VM точно не использует реальные фичи процессора.
Иногда видно в логах:
kvm: host doesn't support requested feature...
falling back to tcg
В конфиге VM выставить:
<cpu mode="host-model"/>
или (если железо 1-в-1)
<cpu mode="host-passthrough"/>
Проверить, что включена аппаратная виртуализация:
egrep -c '(vmx|svm)' /proc/cpuinfo
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤3
GitHub теперь в Telegram!
Самый прогерский канал, где за 10 минут ты научишься:
/ Пробив по фото и номеру в ТГ
// Как взломать вебку подруги
/// Мануал по OSINT разведке
Подписывайся, нас уже сотни тысяч: >@GitHub
Самый прогерский канал, где за 10 минут ты научишься:
/ Пробив по фото и номеру в ТГ
// Как взломать вебку подруги
/// Мануал по OSINT разведке
Подписывайся, нас уже сотни тысяч: >@GitHub
😁2❤1
Почему systemd-таймер срабатывает «внезапно»
Иногда кажется, что таймер живёт своей жизнью: вы ставите запуск на 03:00, а он внезапно стрельнул после загрузки сервера или вообще в другое время.
Что чаще всего ломает ожидания
1️⃣ Persistent=true
После перезагрузки systemd проверяет: «Было пропущено выполнение?».
Если да, то запускает задачу сразу. Поэтому «неожиданный» ранний старт - норма.
2️⃣ RandomizedDelaySec
Если включена рандомизация, systemd сам добавляет задержку к запуску. Нужно точное время - выключайте.
3️⃣ Разные часовые зоны
Таймер считает локальное время, сервис может работать в UTC.
Результат: старт «не по расписанию».
4️⃣ Логика OnCalendar
OnCalendar=03:00 - это «когда наступят ближайшие 03:00», а не «строго каждый день».
При изменении времени или зоны совпадение может пересчитаться.
Чем проверить
Что отключить/исправить
Иногда кажется, что таймер живёт своей жизнью: вы ставите запуск на 03:00, а он внезапно стрельнул после загрузки сервера или вообще в другое время.
На деле systemd просто делает ровно то, что вы ему сказали, но не всегда так, как вы ожидаете.
Что чаще всего ломает ожидания
После перезагрузки systemd проверяет: «Было пропущено выполнение?».
Если да, то запускает задачу сразу. Поэтому «неожиданный» ранний старт - норма.
Если включена рандомизация, systemd сам добавляет задержку к запуску. Нужно точное время - выключайте.
Таймер считает локальное время, сервис может работать в UTC.
Результат: старт «не по расписанию».
OnCalendar=03:00 - это «когда наступят ближайшие 03:00», а не «строго каждый день».
При изменении времени или зоны совпадение может пересчитаться.
Чем проверить
systemctl list-timers
systemctl status myjob.timer
journalctl -u myjob.timer
systemd-analyze calendar "*-*-* 03:00"
Что отключить/исправить
Persistent=false
RandomizedDelaySec=0
timedatectl
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥6
Наконец-то ребята из контейнерной платформы “Штурвал” прислушались к сообществу и сделали альтернативу бесячей форме на сайте для получения community-лицензии. Теперь ее можно получить через бота в телеге: @l4_helper_bot.
Может ещё и Open-Source-версию сделают?
Может ещё и Open-Source-версию сделают?
❤2
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Зачем это важно:
• Улучшает интерактивность и снижает задержки для задач с низким временем отклика;
• Полезно в реальном времени и высокочувствительных системах;
• Однако включает дополнительные накладные расходы на переключение контекста, что может слегка снизить общую пропускную способность.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
Изоляция рунета ближе, чем ты думаешь
Каждый сталкивался с блокировками, а «белые списки» сайтов тестируют уже в десятках регионов. И гайки будут закручиваться только сильнее.
Чтобы в одночасье не лишиться доступа к Интернету, просто сохрани Only Hack.
Тут профессиональный хакер делится фишками, с которыми доступ к глобальной сети у тебя будет даже в случае ядерного апокалипсиса.
Не жди момента «Х». Перестрахуйся подпиской.
Loading …
██████████████] 99%
Каждый сталкивался с блокировками, а «белые списки» сайтов тестируют уже в десятках регионов. И гайки будут закручиваться только сильнее.
Чтобы в одночасье не лишиться доступа к Интернету, просто сохрани Only Hack.
Тут профессиональный хакер делится фишками, с которыми доступ к глобальной сети у тебя будет даже в случае ядерного апокалипсиса.
Не жди момента «Х». Перестрахуйся подпиской.
🤡5❤2👎2🔥1💊1
Что является ключевым признаком проблемы с файловой системой на сервере?
Anonymous Quiz
55%
Появление операций, переходящих в состояние D при обращении к диску
19%
Рост временных каталогов, созданных в пользовательской сессия
10%
Снижение производительности сервисов после обновления ядра
17%
Изменение размера swap во время интенсивных вычислений
🔥6❤4
Cloudflare раскрыла причину получасового глобального сбоя 5 декабря - ошибка в Lua
Во время инцидента примерно треть запросов через Cloudflare возвращалась с ошибкой 500. Причиной стало обновление WAF для блокировки уязвимости CVE-2025-55182.
Однако вызов execute для отключённого набора правил остался, что привело к аварийному завершению Lua-обработчика.
Проблему обнаружили и устранили через 25 минут. Сбой затронул клиентов на старых прокси FL1 с активным Cloudflare Managed Ruleset, но трафик в Китае и у других клиентов работал корректно.
Во время инцидента примерно треть запросов через Cloudflare возвращалась с ошибкой 500. Причиной стало обновление WAF для блокировки уязвимости CVE-2025-55182.
Инженеры изменили размер буфера для проверки трафика и отключили тестовый Lua-инструментарий через killswitch.
Однако вызов execute для отключённого набора правил остался, что привело к аварийному завершению Lua-обработчика.
Проблему обнаружили и устранили через 25 минут. Сбой затронул клиентов на старых прокси FL1 с активным Cloudflare Managed Ruleset, но трафик в Китае и у других клиентов работал корректно.
В Cloudflare отметили, что аналогичная ошибка не возникает в новом прокси FL2 на Rust.
❤5👍1😁1
Реальная история:
Дизайнерское агентство разработало интерфейс приложения в сервисе Figma, но из-за того, что карты Visa и Mastercard оказались заблокированы, не смогли выгрузить проект.
Потому что день самовыпиления платежек в России совпал с днём оплаты подписки.
Осложнялось всё тем, что они могли олатить сервис только с корпоративной карты.
Читпей организовали оплату в течение 10 минут. Ребята оплатили подписку, и выгрузили проект. Интерфейс приложения был спасён!
Что делает CheatPay:
Помогает оплатить зарубежные сервисы российскими картами, в том числе Visa и Mastercard.
Например:
Потеряли доступ к Zoom, Airtable, Atlassian, Canva и другим программам для управления IT-проектами? Простаивают проекты в Adobe Photoshop, Premiere Pro и After Effects? Другие сервисы? Помогут.
Обращаться в https://news.1rj.ru/str/cheatpay_ru
Дизайнерское агентство разработало интерфейс приложения в сервисе Figma, но из-за того, что карты Visa и Mastercard оказались заблокированы, не смогли выгрузить проект.
Потому что день самовыпиления платежек в России совпал с днём оплаты подписки.
Осложнялось всё тем, что они могли олатить сервис только с корпоративной карты.
Читпей организовали оплату в течение 10 минут. Ребята оплатили подписку, и выгрузили проект. Интерфейс приложения был спасён!
Что делает CheatPay:
Помогает оплатить зарубежные сервисы российскими картами, в том числе Visa и Mastercard.
Например:
Потеряли доступ к Zoom, Airtable, Atlassian, Canva и другим программам для управления IT-проектами? Простаивают проекты в Adobe Photoshop, Premiere Pro и After Effects? Другие сервисы? Помогут.
Обращаться в https://news.1rj.ru/str/cheatpay_ru
🗿3❤1👍1😁1
Почему Docker не видит локальную сеть
Иногда контейнеры вроде работают, но не могут достучаться до хоста или соседних машин. Часто причина не в Docker, а в сетевом стеке хоста.
1️⃣ Конфликт iptables: legacy vs nft
Если хост использует nftables, а Docker старые iptables, часть правил просто не применяется. NAT и bridge «живут в разных мирах», и контейнеры теряют связь с сетью.
2️⃣ NetworkManager перехватил мост
Иногда NM считает docker0 лишним и начинает управлять мостом, правила ломаются.
3️⃣ IPv4 forwarding выключен
Без него Docker не маршрутизирует пакеты наружу.
⚡ Быстрые исправления
Переключить iptables в правильный режим (чаще legacy):
Включить IPv4 forwarding:
Отключить управление docker0 в NetworkManager:
Создать /etc/NetworkManager/conf.d/docker.conf:
Иногда контейнеры вроде работают, но не могут достучаться до хоста или соседних машин. Часто причина не в Docker, а в сетевом стеке хоста.
Если хост использует nftables, а Docker старые iptables, часть правил просто не применяется. NAT и bridge «живут в разных мирах», и контейнеры теряют связь с сетью.
iptables -V
update-alternatives --config iptables
docker network inspect bridge
Иногда NM считает docker0 лишним и начинает управлять мостом, правила ломаются.
nmcli dev show | grep docker
Без него Docker не маршрутизирует пакеты наружу.
sysctl net.ipv4.ip_forward
Переключить iptables в правильный режим (чаще legacy):
sudo update-alternatives --config iptables
Включить IPv4 forwarding:
sudo sysctl -w net.ipv4.ip_forward=1
Отключить управление docker0 в NetworkManager:
Создать /etc/NetworkManager/conf.d/docker.conf:
[keyfile]
unmanaged-devices=interface-name:docker0
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3