Deckhouse Stronghold вошел в Реестр российского ПО

Решение для безопасного хранения и управления секретами Deckhouse Stronghold от компании «Флант» внесено в реестр российского ПО.

Продукт собран, поставляется и полноценно работает на российских операционных системах. 

Он полностью совместим с API Vault от Hashicorp и обладает интерфейсом на русском языке.

Deckhouse Stronghold можно использовать в любых окружениях, облаках и закрытых контурах с повышенными требованиями к безопасности.

Решение позволяет разделить права доступа для управления хранилищем и получения секретов приложениями, — что минимизирует риски утечки данных и обеспечивает максимальный контроль доступа.

Решение является частью экосистемы Deckhouse и глубоко интегрировано со всеми ее продуктами. 

Кроме того, #Stronghold совместим с широким спектром существующих на рынке решений, в том числе для безопасной доставки секретов в базы данных, CI/CD и для аутентификации из внешних источников идентификации (например, AD, OIDC, LDAP, SAML)

⚡️Код Stronghold хранится и разрабатывается на территории России, а также постоянно тестируется на уязвимости.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как заставить #fsck проверить файловую систему ОС при следующей перезагрузке?

✅Ответ: Для принудительного запуска утилиты fsck для проверки конкретной файловой системы при следующей перезагрузке, нужно создать пустой файл с именем 'forcefsck' в корне этой файловой системы.

Например, если мы хотим проверить файловую системы смонтированную в каталог /home, команду будет выглядеть примерно так:

# cd /home; touch forcefsck; reboot

Использование PostgreSQL в Linux.
Базовые команды Ч.2

Продолжим говорить о том, как эффективно использовать PostgreSQL в #Linux.

⏺Как узнать, какая версия PostgreSQL запущена

Версию запущенной #PostgreSQL не всегда можно определить по установленным пакетам.

Например, во время обновления PostgreSQL на некоторых дистрибутивах не заменяет предыдущую версию, а устанавливает новую в дополнении к имеющейся.

Иногда у пользователя в корпоративной среде есть доступ через #Navicat или #phpPgAdmin, но нет доступа к консоли сервера, на котором работает база данных.

Для определения версии сервера выполните команду:



pg_config --version



Альтернативная команда:



postgres -V



Для определения версии клиента:



psql --version



⏺Как подключиться к локальному серверу PostgreSQL

Для подключения к интерактивному терминалу PostgreSQL используется команда psql.

Примеры синтаксиса команд:



psql
psql БАЗА-ДАННЫХ
psql БАЗА-ДАННЫХ ПОЛЬЗОВАТЕЛЬ



Для psql требуется указать имя пользователя и если он не указан, то пересылается имя текущего пользователя системы, который скорее всего отсутствует в базе данных PostgreSQL, что вызывает ошибку.

По умолчанию создаётся пользователь postgres, поэтому без дополнительной настройке вы можете подключиться к серверу PostgreSQL следующим образом:



sudo -u postgres psql

Как настроить и использовать Windows Task Scheduler

#WindowsTaskScheduler – мощный инструмент для автоматизации выполнения различных задач на компьютере.

Он может запускать программы, скрипты или отправлять сообщения в определенное время или при наступлении заданного события.

В посте мы рассмотрим, как создавать и управлять задачами в Windows Task Scheduler.

Открытие #TaskScheduler

Для начала откройте Task Scheduler:

1️⃣Нажмите Win + R, введите taskschd.msc и нажмите Enter.

2️⃣Вы также можете открыть Task Scheduler через меню Start, найдя его в разделе

Создание базовой задачи

1️⃣ В левой панели выберите Task Scheduler Library.
2️⃣ В правой панели выберите Create Basic Task.
3️⃣ Введите имя задачи и её описание и триггер задачи (ежедневно, еженедельно, при запуске компьютера и т.д.), и нажмите Next.
4️⃣ Выберите действие, которое должна выполнить задача (запуск программы, отправка сообщения).
5️⃣ Укажите путь к программе или скрипту, который нужно запустить. Нажмите Next и Finish

Управление задачами

Для управления существующими задачами:

1️⃣ Выберите задачу в библиотеке Task Scheduler.

2️⃣ В правой панели доступны опции для выполнения задачи (Run), завершения (End), отключения (Disable), экспорта (Export) и удаления (Delete).

Примеры команд PowerShell для работы с задачами

Создание задачи #PowerShell для резервного копирования

$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Backup.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 3am
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "DailyBackup" -Denoscription "Daily backup task"

Изменение существующей задачи

Set-ScheduledTask -TaskName "DailyBackup" -Trigger (New-ScheduledTaskTrigger -Weekly -DaysOfWeek Monday -At 4am)

Удаление задачи

Unregister-ScheduledTask -TaskName "DailyBackup" -Confirm:$false

Получение списка всех задач

Get-ScheduledTask

Включение задачи

Enable-ScheduledTask -TaskName "DailyBackup"

Отключение задачи

Disable-ScheduledTask -TaskName "DailyBackup"

😎 Обычные будни сисадмина

5 полезных команд для работы в Linux

В этом посте рассмотрим еще 5 команд, которые упростят и ускорят работу системным администраторам в #Linux.

5 важных команд Linux для сисадминов

5 забавных команд в Linux, которые оживят ваш терминал

1️⃣ agetty — Linux-версия getty, которая представляет собой Unix-программу, работающую на главном компьютере и управляющую физическими или виртуальными терминалами для обеспечения многопользовательского доступа.

2️⃣ apropos — помогает пользователю найти команду по ключевому слову, связанному с ней. Показывает краткое описание команд, в которых присутствует искомое слово.

3️⃣ bzmore — это фильтр, который позволяет поэкранно просматривать как сжатые (.bzip2), так и простые текстовые файлы.

4️⃣ bzless — похожая на команду bzmore, но имеет гораздо больше функций. bzless не нужно читать весь входной файл перед запуском, поэтому с большим файлом она запускается быстрее, чем текстовые редакторы (например, vi).

5️⃣ chkconfig — перечисление текущей информации о запуске служб или какой-либо конкретной службы, а также обновления настроек уровня запуска службы.

6️⃣ cvs — хранение истории изменений файла. Всякий раз, когда файл поврежден или что-то идет не так, команда cvs помогает вернуться к предыдущей версии и восстановить наш файл.

vStack выпускает версию 2.3 платформы виртуализации с новыми функциями для корпоративных инфраструктур

Российский разработчик vStack сообщил о выходе мажорной версии платформы виртуализации vStack HCP 2.3. 

Новые возможности, появившиеся в этой версии, ориентированы на потребности владельцев инфраструктур корпоративного уровня.

Новые функциональные возможности:

⏺объединение нескольких кластеров в единую систему управления: web-interface или API-endpoint
⏺глобальные (межкластерные) объекты: виртуальные ЦОДы и виртуальные сети
⏺аутентификация и авторизация пользователей из служб каталогов #ActiveDirectory и #LDAP
⏺аутентификация и авторизация пользователей из внешних identity-провайдеров, поддерживающих стандарт #OpenID.

Объединение управляющих контуров и глобальных объектов кластеров позволяют распределять нагрузку на ресурсы инфраструктур более эффективно и равномерно.

Использование учётных записей из служб каталогов и identity-провайдеров упрощает административный контур эксплуатации инфраструктур.

🔥Кроме того, vStack HCP получила расширенную ролевую модель, позволяющую назначать пользователям не только роли, но и конкретные привилегии.

Настройка и управление файловыми системами в Linux

Файловая система — важнейший компонент любой операционной системы, и правильное управление ей обеспечивает стабильную и эффективную работу.

Тут мы рассмотрим, как создавать, монтировать и управлять файловыми системами в #Linux.

⏺Создание и монтирование файловых систем с помощью #mkfs и #mount

Создание файловой системы

Команда mkfs используется для создания файловой системы на разделе или устройстве.

Пример создания файловой системы ext4 на разделе /dev/sdb1:

sudo mkfs.ext4 /dev/sdb1

Монтирование файловой системы

Чтобы смонтировать созданную файловую систему, используется команда mount.

Пример монтирования раздела /dev/sdb1 в директорию /mnt/data:

sudo mount /dev/sdb1 /mnt/data

Проверка смонтированных файловых систем

Для проверки, что файловая система смонтирована, можно использовать команду df:

df -h

⏺Использование fstab для автоматического монтирования файловых систем при загрузке

Редактирование файла /etc/fstab

Файл /etc/fstab содержит информацию о файловых системах, которые должны быть автоматически смонтированы при загрузке системы.

Пример строки для автоматического монтирования раздела /dev/sdb1 в /mnt/data:

/dev/sdb1  /mnt/data  ext4  defaults  0  2

После редактирования файла /etc/fstab, можно проверить его с помощью команды:

sudo mount -a

Эта команда смонтирует все файловые системы, указанные в fstab, без необходимости перезагружать систему.

⏺Управление файловыми системами с помощью df, du и lsblk

Просмотр использования диска с df

Команда df отображает информацию о файловых системах и их использовании:

df -h

Анализ использования дискового пространства с du

Команда du позволяет определить, сколько места занимает конкретный каталог или файл:

du -sh /mnt/data

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как установить все патчи за исключением патчей ядра в #CentOS и #RHEL?

✅Ответ: Параметр '–exclude=kernel*' команды yum позволяет установить все патчи кроме предназначенных для ядра. Например так:

# yum update –exclude=kernel*

Битые символьные ссылки

Символьная ссылка становится битой (или «висячей»), если связанный с ней файл удаляется или перемещается в другое место.

Если кто-то вручную удалит файл, не зная, что на него указывают символьные ссылки, то эти символьные ссылки больше не будут работать.

Они будут похожи на дорожные знаки, указывающие на город, который снесли бульдозерами.

⏺Обнаружение битых символьных ссылок с командой find

Команда find может быть использована для поиска битых символьных ссылок.

Пример команды для поиска битых ссылок в текущем каталоге и его подкаталогах:

find . -xtype l

• . указывает на текущий каталог.
• -xtype l указывает на поиск битых символьных ссылок.

⏺Проверка символьной ссылки с помощью ls

Чтобы проверить, куда указывает конкретная символьная ссылка и определить, битая ли она, можно использовать команду ls с опцией -l:

ls -l /path/to/symlink

Если указанный файл не существует, это будет видно в выводе команды.

Например, вывод может выглядеть так:

lrwxrwxrwx 1 user group 12 May 17 10:00 symlink -> /nonexistent/file

Если файл не существует, то это будет видно, так как в выводе после стрелки (->) будет указан несуществующий путь.

⏺Определение причины битых ссылок

После обнаружения битой символьной ссылки важно понять, почему она стала битой.

Это может быть вызвано следующими причинами:

• Исходный файл или каталог был удален.
• Исходный файл или каталог был перемещен или переименован.
• Ошибка в процессе создания ссылки.

⏺Дополнительный анализ с помощью readlink

Команда readlink показывает, на что указывает символьная ссылка:

readlink /path/to/symlink

Эта команда выводит путь, на который указывает ссылка, что помогает понять, что произошло с исходным файлом или каталогом.

🔥 В одном из следующих постов расскажу о полезной утилите для удаления битых символьных ссылок

Утилита symlinks

#symlinks — это мощная утилита для управления и исправления битых символьных ссылок.

Поскольку symlinks не входит в стандартную поставку большинства дистрибутивов #Linux, то вам придется установить данный инструмент вручную.

⏺Команда установки данной утилиты (в #Debian 11) будет выглядеть следующим образом:

sudo aptitude install symlinks



Если вы используете #Ubuntu, то перед установкой symlinks вам нужно будет добавить репозиторий universe в список репозиториев вашей системы:

sudo add-apt-repository universe



После успешной установки symlinks вам необходимо проверить наличие битых ссылок в вашей системе.

Для этого введите следующее:

symlinks .



Если в вашей системе присутствует битая (dangling) ссылка, вы получите вывод, который выглядит как на нижеприведенном примере.



diego@debian:~/Документы symlinks
dangling: /home/diego/Документы/hello => /bin/ravesli
diego@debian:~/Документы$

⏺Символ . (точка) обозначает текущий рабочий каталог.

Если вы хотите получить информацию о битых символьных ссылках, например, в каталоге /home, то можете сделать это, введя следующую команду:

symlinks /home

Если в вашей системе присутствует битая ссылка, вы получите примерно следующий результат:

dangling: /home/diego/Документы/hello -> /bin/ravesli

Чтобы быстро удалить полученную ранее битую символьную ссылку, вы можете использовать флаг -d (delete):

symlinks -d .

⏺Чтобы удалить битые символьные ссылки в каталоге /home, введите:

symlinks -d /home

На этот раз вывод будет не только перечислять найденные битые ссылки, но также сообщать, что ссылка теперь удалена, например:

dangling: /home/diego/Документы/hello -> /bin/ravesli




deleted: /home/diego/Документы/hello -> /bin/ravesli



Чтобы произвести рекурсивный поиск и удаление битых символьных ссылок в заданном каталоге, используйте флаги -dr (d = delete, r = recursive):

symlinks -dr .

В России запущена система ИБ-аналитики, обученная на базе данных ФСТЭК

Российские специалисты разработали платформу атрибуции кибератак на основе данных #ФСТЭК и международной базы знаний.

Платформа, созданная Angara Security, предназначена для автоматического определения вероятных тактик и техник хакеров с учетом отраслевой принадлежности и цифровых активов компаний.

В её основе лежат данные международной классификации MITRE ATT&CK® и базы данных угроз ФСТЭК России.

Платформа анализирует профиль организации, например коды ОКВЭД (Общероссийский классификатор видов экономической деятельности), для предсказания возможных атак.

Она помогает сократить время реагирования на инциденты, выдвигая гипотезы о типе кибератаки, что позволяет ИБ-специалистам быстрее реагировать и устранять последствия.

Платформа была протестирована на самой компании Angara Security, и результаты работы сравнивались с отчетами аналитиков.

Хотя точность системы пока не раскрыта, компания уже имеет действующие контракты с крупными и средними бизнесами, использующими эту систему для улучшения стратегий информационной безопасности, стандартов аудита и планирования инвестиций в ИБ-инфраструктуру.

Angara Security отметила аналогичную систему от «Лаборатории Касперского» — Kaspersky Threat Attribution Engine, которая также анализирует новые атаки, сопоставляя их с известными угрозами.

Евгений Сурков из Innostage выразил сомнение в достаточности данных ОКВЭД для надежного профилирования, но признал потенциал подхода. 

☄️ Рустэм Хайретдинов из «Гарды» назвал платформу Angara Security большим экспериментом для компании и её клиентов.

Настройка и управление Data Deduplication в Windows Server

Data Deduplication - это важный инструмент для оптимизации использования пространства на дисках в Windows Server.

В посте мы рассмотрим, как настроить и управлять Data Deduplication с помощью #PowerShell.

1️⃣ Установка и включение Data Deduplication

Сначала установите роль Data Deduplication на сервере, если она еще не установлена:

Install-WindowsFeature -Name FS-Data-Deduplication

Затем включите Data Deduplication на конкретном томе, например, на томе D::

Enable-DedupVolume -Volume D:

2️⃣ Настройка расписания дедупликации

Вы можете настроить расписание автоматической оптимизации дедупликации с помощью задания Планировщика задач #Windows:

Register-ScheduledTask -TaskName "Deduplication Optimization" -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Start-DedupJob -Type Optimization -Volume D:") -Trigger (New-ScheduledTaskTrigger -At 02:00am -Daily)

Это создаст ежедневное задание оптимизации дедупликации на томе D: в 02:00 каждый день.

3️⃣ Получение информации о дедупликации на томах

Чтобы получить информацию о статусе дедупликации на всех доступных томах, выполните:

Get-DedupStatus

4️⃣ Просмотр статистики дедупликации

Чтобы просмотреть статистику дедупликации на конкретном томе, включая объем сэкономленного места, используйте:

Get-DedupStatus -Volume D: | Format-List

5️⃣ Запуск дедупликации вручную

Вы также можете запустить процесс дедупликации вручную на определенном томе, если это необходимо:

Start-DedupJob -Type Optimization -Volume D:

Это запустит оптимизацию дедупликации на томе D:.

6️⃣ Просмотр дополнительной информации о дедупликации на конкретном томе

Чтобы получить более подробную информацию о статусе дедупликации на конкретном томе, включая информацию о сжатии и устаревших блоках, выполните:

Get-DedupStatus -Volume D: | Format-List *

Это выведет дополнительные сведения о дедупликации на томе D:.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как проверить, что вы работаете на физическом или виртуальном сервере?

✅Ответ: С помощью команды dmidecode мы можем проверить платформу сервера.

Например так:

# dmidecode -t system | grep «Product Name»
Product Name: VMware Virtual Platform

Хорошего понедельника, админы 😎

Как отследить, какой процесс создаёт нагрузку на диск

Избыточная нагрузка на диск может существенно замедлить работу системы. 

Первым шагом в диагностике проблем с дисковыми операциями является мониторинг операций ввода и вывода. Рассмотрим некоторые команды для этого.

⏺iotop — аналог top для отслеживания нагрузки на диск в реальном времени

Команда top в #Linux позволяет увидеть, какие процессы потребляют больше всего процессорного времени и оперативной памяти, но не предоставляет информации о дисковых операциях.

Для этих целей можно использовать iotop, который показывает процессы с наибольшим использованием диска.

Установка #iotop (если еще не установлен):

sudo apt-get install iotop

Для #Debian / #Ubuntu

sudo yum install iotop

Для #CentOS / #RHEL

Использование iotop для мониторинга:

sudo iotop

Вы увидите список процессов, отсортированный по текущей дисковой активности.

Это позволит быстро выявить процесс, который создает наибольшую нагрузку на диск.

⏺pidstat — вывод статистики для задач Linux

Пакет sysstat включает в себя несколько утилит для сбора статистики использования системных ресурсов.

Утилита #pidstat полезна для мониторинга использования диска процессами.

Установка пакета sysstat:

sudo apt-get install sysstat

Для Debian/Ubuntu

sudo yum install sysstat

Для CentOS/RHEL

Использование pidstat для мониторинга операций ввода-вывода:

sudo pidstat -d 1

Эта команда выводит статистику операций чтения и записи на диск для всех процессов каждую секунду.

sudo pidstat -d -p <PID> 1

Эта команда выводит статистику операций чтения и записи на диск для конкретного процесса (замените <PID> на идентификатор процесса) каждую секунду.

⏺iostat — статистика использования устройств и разделов дисков

Утилита iostat также входит в пакет sysstat и предназначена для создания отчетов по статистике ввода-вывода для устройств и разделов.

Использование #iostat для мониторинга:

iostat -xz 1

Эта команда выводит расширенную статистику ввода-вывода по всем устройствам каждую секунду.