Перевели на английский мою статью по безопасной настройке RouterOS

Кстати, у меня есть сильно отстающая англоязычная версия этого канала. Если вашим нерусскоязычным знакомым интересно то, о чем я пишу, можете делиться этой ссылкой

Я как-то писал свои впечатления о курсе Slurm SRE. Кратко - мне понравилось. А вот и онлайн заход этого курса

Декабрьский интенсив по SRE🦎 – 30 мест со скидкой 45%!

Формат: онлайн-интенсив (Zoom, записи занятий, git, стенды для практики, техподдержка и помощь спикеров).

На интенсиве разбираем SRE-подход к разработке и эксплуатации высоконагруженного сайта:
✔️будем настраивать и поддерживать сайт из нескольких микросервисов.
✔️сформулируем показатели SLO, SLI, SLA, разработаем архитектуру и инфраструктуру, соберем, протестируем и задеплоим сайт, настроим мониторинг и алертинг.
✔️определим причины ухудшения SLO, разберем устойчивость, error budget, практику тестирования, управление прерываниями и операционной нагрузкой.
✔️проработаем порядок действий в случае аварии.
✔️примем решения по дальнейшему предотвращению инцидентов.

Цена со скидкой 45% до 1 октября – 50 000 руб. (осталось 30 мест)

Ориентировочная дата интенсива: декабрь 2020

Программа и регистрация: http://to.slurm.io/_OnyPQ

Курсы Mikrotik в Челябинске!

Многие просили провести курсы в моем родном городе. К сожалению, я сам в ближайшее время не смогу приехать и провести их. Зато сможет мой хороший товарищ и один из самых активных тренеров в СНГ Алексей Чудин.

14-17 октября MTCNA
19-21 октября MTCRE

Недавно собеседовался на позицию DevOps. Вот вам одно из заданий.

#!/bin/env bash
while read k;
do echo $k;
done < ./r;

Детальный разбор скрипта. С первой строки.
- Почему env?
- Какой вывод будет?
- А если читать неоткуда?
- А если читается бинарник?
- Перепишите скрипт на другом языке
- А переписанный скрипт полностью повторяет действия исходного?
- А выход с ошибкой предусмотрели?

#собес #задача

Go-разработчик с нуля всего за год!

Нравится программирование, но не можешь разобраться во всем самостоятельно? Мы поможем освоить новую профессию и расскажем, как найти высокооплачиваемую работу после обучения!
Переходи по ссылке и регистрируйся ▶️ https://clc.am/GYatKQ

На курсе «Профессия Go-разработчик» ты получишь базовые знания программирования, а также подробное обучение по работе с Golang. Пройдя обучающий курс, ты создашь крутое портфолио и сможешь претендовать на должность junior-программиста. А еще, дарим 2 месяца бесплатного английского в онлайн школе «EnglishDom»

Регистрируйся пока есть скидка 40% на обучение!

#реклама

У Ричарда Хемминга есть известная лекция «Вы и ваше иследование», она прекрасна сама по себе и стоит прочтения. Но её хорошо дополняет оммаж, сделанный Haroon Meer в 2012 году. Выступление Haroon`a поднимая все те же самые вопросы только рассматривая их в контексте исследований безопасности. Там можно найти ответы на кучу однотипных вопросов повторяемых из года в год. Так что если вы только думаете начать заниматься исследованиями, возможно именно они помогут вам .

https://www.youtube.com/watch?v=JoVx_-bM8Tg
https://conference.hitb.org/hitbsecconf2012kul/materials/D1T2%20-%20Haroon%20Meer%20-%20You%20and%20Your%20Research.pdf

Если считаете, что отлично умеете в OSPF, то тут на CiscoLive была отличная сессия про его тшут от Николая Руссо. Вот прям очень отличная.

https://www.ciscolive.com/global/on-demand-library.html?#/session/1518011397038001CXX2

Официальные шаблоны от #Mikrotik для #Zabbix

Wireshark 3.3.0 development release

Четыре VoIP конференции за три дня:

24 сентября - конфа про Asterisk для НЕ_Технарей

25-26 сентября - классический AsterConf

24 сентября - конфа о Камайлио

24 сентября - конфа о FreeSwitch

Часто попадаются разные полезные книги, курсы и ресурсы, которые по разным причинам не хочется светить в основном канале.

Поэтому создал дополнительный канал, куда буду складывать такие материалы. К сожалению, в большинстве случаев они контрафактные, но никто не мешает нам купить понравившуюся книгу или курс после ознакомления.

Экспресс проверка вашего bash скрипта на безопасность - быстро, надежно, удобно

https://www.shellcheck.net/

O_o

Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.

Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}

На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:

{"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpwn","created_at":"2020-09-21T17:25:55.046Z","bio":"","bio_html":"","location":"","public_email":"","skype":"","linkedin":"","twitter":"@i_bo0om.ru","website_url":"https://news.1rj.ru/str/webpwn","organization":"","job_noscript":"","work_information":null}

Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.

По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys

Отдельного упоминания заслуживает avatar_url:

”avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon”

Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.

echo -n "webpwn@bo0om.ru" | md5


4e99709ca6b52f78d02cb92a5bc65d85

А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.

Наверное, вы заметили, что постов в канале стало заметно меньше, а авторские и вовсе исчезли.

Дело в том, что с начала лета я вступил в новую должность и времени стало заметно меньше. Приходится изучать новые для меня технологии и в то же время как-то работать с ними, чтобы не сломать инфраструктуру. Ну вы сами все знаете - кому я рассказываю.

А технологии для меня действительно новые (на проде я с таким не работал, только в лабах). И должность новая. Я теперь официально DevOps Engineer (ага, их не существует, а я существую).

А это значит, что скоро я смогу рассказать что это за профессия изнутри и как девопс практики могут помочь "обычному" админу. Как зарабатывать 300 кк/сек не расскажу - сам не знаю. Догадываюсь, что для этого нужно много работать и много знать 😱

Посты про Mikrotik никуда не денутся, есть в планах писать о нем в журналы и репостить сюда. Продвигается мой pet-project с управлением RouterOS из ansible, а значит скоро я об этом расскажу.

Пишите поздравления и ваши пожелания по постам в комменты ⬇️

Комменты сюда)
⬇️

Вышло из пейвола продолжение моей статьи о настройке фаервола на Mikrotik RouterOS. Защищаемся от сканеров, троянов и ддосеров.

Помните, что не существует серебряной пули. Построить защиту можно только комплексными методами - один только фаервол не спасет сеть.