🔒 Менеджеры паролей...

Коллеги, очередной виток инцидентов с компрометацией данных заставляет вновь пересмотреть подходы к управлению паролями, даже для личных нужд. На мой взгляд, для закрытия этой потребности выделяются два основных кандидата, каждый со своими сильными сторонами:

Bitwarden (через Vaultwarden для селфхоста): Привлекает открытостью (исходники, аудиты) и возможностью полного контроля над данными при самостоятельном развертывании. Docker-контейнер Vaultwarden действительно упрощает жизнь. Альтернатива в виде облачного Bitwarden тоже жизнеспособна, особенно при использовании аппаратных ключей для защиты мастер-пароля (с бэкапом ключа в надёжном месте).

KeePassXC (или классический KeePass): Если принципиально избегать облачных историй даже в формате self-host. Полностью офлайновое решение с локальным шифрованием базы KDBX. Защита мастер-паролем + ключевым файлом – серьезный аргумент. Синхронизация зашифрованного файла базы через любое удобное хранилище с последующей локальной расшифровкой на целевом устройстве – рабочий и проверенный сценарий. Открытый код и доверие сообщества также в плюсе.

Оба решения имеют свои плюсы и минусы в контексте безопасности, удобства администрирования (для self-host) и кроссплатформенной синхронизации.

🤔 Интересно ваше мнение, на чем остановились вы для личного использования и почему? Опыт эксплуатации, грабли?

Типичный 🥸 Сисадмин

Пользователь удивлялся почему его компьютер так сильно нагревается и выключается во время игр 🔥

Типичный 🥸 Сисадмин

Не смотрите в опту оставшимися глазами.

Последний пинг перед вечной тьмой.

Типичный 👀 Сисадмин

Залипательное видео демонстрирует укладку кабелей в серверной стойке с использованием специальных цветных фиксаторов в патч-панелях.

👍 — Красиво, но непрактично, делает тот, кто не будет потом это обслуживать.
🌚 — Везде бы так.
❤️ — Нужен баланс между эстетикой, удобством обслуживания и масштабируемостью.

Типичный 🥸 Сисадмин

Разработчики MATLAB пострадали от атаки шифровальщика — часть сервисов не работает больше недели 🚫

Компания MathWorks официально подтвердила, что взлом и сбой работы онлайн-сервисов был вызван атакой вымогателя (ransomware). Инцидент начался ещё 18 мая, но до сих пор полностью не устранён.

Многие компании и университеты используют онлайн-лицензирование и облачные возможности, а без доступа к ним проекты «встают».

MathWorks — частная американская компания с 6500+ сотрудниками, обслуживающая 5+ миллионов пользователей. Инциденты такого уровня редки в научном ПО, что подчёркивает высокий уровень угроз даже для «узкоспециализированных» компаний.

Типичный 🥸 Сисадмин

Та самая услада для админских глаз – это когда все юниты в стойке заняты и лампочки мигают правильно 💚

Типичный 🥸 Сисадмин

Мудрости сисадмина со стажем: чему не учат на старте в IT 😎

Один из коллег с 10-летним опытом в IT поделился выстраданными уроками, которые он хотел бы знать в начале своей карьеры. Советы оказались до боли знакомы.

Эти советы были рождены опытом работы в не самых лучших условиях, с неэффективным менеджментом или в токсичной атмосфере, что, к сожалению, не редкость. В здоровой рабочей среде с адекватным руководством некоторые из этих правил могут показаться излишне циничными. Однако, знать о таких граблях и быть к ним готовым – полезно, особенно в начале IT-карьеры и в наших переменчивых реалиях.

🥇Золотые правила выживания и роста:
🟢Не перерабатывай без нужды – на премию это не повлияет, а здоровье не казенное. Премии или тринадцатая зарплата часто зависят от общего бюджета компании, а не от личных подвигов. Кто везет, на том и едут.
🟢Больше работы = еще больше работы. Не пытайся угодить всем начальникам и старшим коллегам, иначе рискуешь стать универсальным исполнителем всех авралов.
🟢Прежде чем озвучить гениальное предложение на совещании, подумай трижды. Велика вероятность, что реализация ляжет на твои плечи, без дополнительных ресурсов и иногда даже без "спасибо".
🟢Коллеги – не всегда друзья, а офис – не семья. Хотя душевные коллективы и настоящая дружба случаются, помни: при смене работы или сокращении многие близкие контакты быстро испарятся. Особенно аккуратно стоит быть с личной информацией – она может быть использована против тебя.
🟢"У меня сегодня мало работы" – опасная фраза. Это прямой вызов судьбе и сигнал начальству (если долетит), что тебя можно загрузить еще.

🥇Что действительно важно для карьеры и жизни:
🟠Новый оффер на руках? Увольняйся спокойно. Длинные обсуждения с текущим руководством редко приводят к существенному улучшению условий. Если ты ценен – сделают контрпредложение сразу. Если нет – услышишь стандартное "очень жаль, но мы вас понимаем".
🟠Не увольняйся "в никуда", особенно в текущей экономической ситуации. Наличие оффера или финансовой подушки – залог спокойствия.
🟠Инвестируй в себя: быстро делай рутинную работу и каждый день старайся узнать что-то новое. Не прожигай выходные бездумно – посвяти часть времени обучению, но не забывай и об отдыхе. Баланс – наше все.
🟠Здоровье – главный актив. Купи хорошее кресло с поддержкой шеи и спины – проблемы с позвоночником от сидячей работы очень распространены. Гуляй ежедневно хотя бы 45 минут. Удаление мусорных приложений, пожирающих время и мыслительные ресурсы, тоже пойдет на пользу.

🔥 Еще из наболевшего:
Фраза "Если всё срочно, значит, ничего не срочного" – это про многие наши конторы. Начальство, требующее, чтобы все 12 проектов были "приоритетом №1" — это просто убивает мотивацию и здравый смысл. Разумно забить на всё.

И, конечно, вечное: семья помнит твои переработки, а работа – нет. Как сказал один разумный человек (Доминик Торетто 🚘): "Ни твой начальник, ни коллеги и даже ты сам не запомните все дни и часы, которые ты переработал. Единственные, кто это запомнит, – это твоя семья". Особенно актуально, когда речь идет о неоплачиваемых переработках "за идею" или "потому что надо".

Береги себя. Твоё здоровье и благополучие важнее любых KPI и горящих дедлайнов. Ты – это всё, что у тебя есть по-настоящему 💚

Типичный 🥸 Сисадмин

Когда ты либо слишком неопытен, чтобы видеть проблемы, либо слишком опытен, чтобы они тебя волновали. Главное, не посередине, там душно от размышлений 😬

Типичный 🥸 Сисадмин

Критическая уязвимость в vBulletin: RCE без аутентификации для тысяч форумов 🚨

Плохие новости для владельцев форумов на популярной платформе vBulletin: обнаружена критическая уязвимость, позволяющая злоумышленникам удаленно выполнять код (RCE) без аутентификации. Проблема затрагивает версии vBulletin 5.x и 6.x, работающие на PHP 8.1 или более поздних версиях, и может привести к полной компрометации системы.

💔 В основе уязвимости лежит то, как vBulletin использует PHP Reflection API для своего кастомного MVC-фреймворка и API-системы. Платформа использует динамическую маршрутизацию, где эндпоинты API сопоставляются с методами контроллеров на основе входящих HTTP-запросов (например, AJAX-вызов /ajax/api/user/fetchProfileInfo направляется на метод vB_Api_User::fetchProfileInfo()).

Критическая проблема возникает из-за изменений в поведении функций ReflectionMethod::invoke() и ReflectionMethod::invokeArgs() в PHP 8.1. Начиная с этой версии, данные функции позволяют вызывать `protected` и `private` методы без необходимости предварительно выставлять `setAccessible(true)`, в отличие от предыдущих версий PHP.

Это, казалось бы, незначительное изменение означает, что методы, которые разработчики vBulletin задумывали как внутренние, вспомогательные и никогда не предназначенные для публичного вызова, теперь могут быть вызваны напрямую удаленными пользователями, если само приложение не реализует явные проверки видимости на своем уровне.

Простой пример уязвимого паттерна:
Если бы в коде было что-то вроде (new ReflectionMethod($controller, $_GET['method']))->invoke($controllerObject);, то запрос /api.php?method=protectedMethod напрямую вызвал бы защищенный метод на PHP 8.1+, обходя предполагаемые контроли доступа.

Сама по себе возможность вызывать защищенные методы опасна, но реальная угроза возникает, когда один из таких методов может быть использован для выполнения кода. В vBulletin таким методом оказался vB_Api_Ad::replaceAdTemplate(). Это защищенная функция, предназначенная для вставки или обновления шаблонов рекламы.

Злоумышленники обнаружили, что могут внедрить произвольный код шаблона в систему, вызвав этот метод через специально сформированный HTTP POST-запрос.

Далее в дело вступает еще одна уязвимость: движок шаблонов vBulletin поддерживает условную логику с помощью тегов <vb:if>. Из-за недостатков в том, как парсер шаблонов фильтрует входные данные, атакующие могут обойти ограничения и внедрить PHP-код, используя вызовы переменных функций. Например, такой шаблон:

```html
<vb:if condition="isset($_POST['c'])">
<vb:eval code="echo $cmd;" />
</vb:if>

Типичный 🎹 Сисадмин

Мой внутренний Корбен Даллас, когда кто-то спрашивает, как я решаю проблемы с маршрутизацией и доступностью.

Типичный 🎹 Сисадмин

Кулстори гласит, что это для того, чтобы приглушить шум 🏥

Типичный 🔥 Сисадмин

Мы с младшим админом после выкатки нового функционала в прод 😶

Типичный 🌚 Сисадмин

😳 В Телеграм появится нейронка Grok от Маска — ИИ будет не просто ботом, его ВСТРОЯТ в сам мессенджер!

— ИИ будет проверять посты на фейки;
— Grok сможет расписать любой текст или сделать его выжимку;
— ИИ можно назначить модератором и он будет чистить ботов;
— Вопросы ИИ можно будет задавать прямо в поиске Телеграм.

Партнёрство рассчитано на год, Telegram получит за это $300 млн и долю в выручке от подписок.

🥸 godnoTECH - Новости IT

🎹 GitHub открывает приватные репозитории через уязвимость в ИИ-интеграции

Исследователи обнаружили критическую уязвимость в GitHub: с её помощью можно получить доступ к файлам из приватных репозиториев без ведома владельцев. Проблема связана с протоколом GitHub MCP Server, который используется для подключения ИИ к репозиториям.

⚙️ Сценарий атаки довольно прост: злоумышленник публикует issue в публичном репозитории, связанном с аккаунтом, у которого есть и приватные репозитории. Если в настройках включена автоматизация через ИИ, он может сгенерировать pull request с предложением исправить проблему — и «случайно» включить в него приватную информацию.

Как утверждают эксперты, уязвимость лежит не столько в коде, сколько в логике архитектуры, где ИИ-агенты действуют без чёткого контроля. В результате приватные данные легко утекут в публичное пространство.

Типичный 🥸 Сисадмин

Помните те времена, когда интернет оживал только после того, как хорошенько пинганёшь провайдера – не только ICMP-пакетами, но и веским словом в рамках приличия 👹

Типичный 😬 Сисадмин

Куда приводят мечты Linux-админа?

Народ, тут на днях наткнулся на вечный вопрос: а куда, собственно, дальше плыть простому Linux-админу, если DevOps – это не совсем то, о чем по ночам мечтается (или уже пройдено)? Тема оказалась животрепещущей...

Сразу скажу, топ-ответ, который кочует из дискуссий и обсуждений уже стал почти официальным планом Б для многих из нас – это условное фермерство с козами! 🐐. Видимо, после N-лет борьбы с systemd, сбоящими RAID-массивами и пользователями, которые опять "ничего не трогали", перспектива мирно пасти блеющих на фоне заката выглядит особенно привлекательно. Как метко заметил один товарищ:

"Устал использовать мозг. Хочу использовать тело в расслабленной, безстрессовой манере".

Но если отбросить фантазии (хотя кто знает, может, это и есть истинный DevOps – управление жизненным циклом козы?), то куда еще ведут нас тернистые пути IT? Вариантов, на самом деле, масса. Многие логично двигаются в сторону SRE (Site Reliability Engineering) или Cloud Infrastructure Engineering. Тут наши навыки работы с "железом" (пусть и виртуальным), сетями, автоматизацией и обеспечением отказоустойчивости раскрываются во всей красе. Нередко это означает углубление в Python, Go или Rust, и вот ты уже не просто админ, а почти разработчик инфраструктурных инструментов, проводящий больше времени в IDE, чем в консоли. Platform Engineering – тоже горячая тема, где без крепких знаний Linux никуда.

Есть и те, кто находит себя в кибербезопасности. И это логично: кто, как не мы, знает все потаенные уголки системы и как их можно (или нельзя) защитить? Отсюда прямая дорога в архитекторы ИБ или аудиторы. Некоторые идут в IT-архитекторы более широкого профиля, проектируя сложные облачные и гибридные решения. А если душа совсем уж просит творчества и контроля – то и в менеджмент (от тимлида до CTO/CISO) или даже в преподавание/консалтинг. Делиться мудростью, накопленной за годы отладки iptables – бесценно! Ну или почти 😉

Для многих "эндшпиль" – это не какая-то конкретная должность, а состояние души. "Чтобы оставили в покое" – вот желание многих опытных админов. Достичь дзена, когда все автоматизировано, работает как часы и можно спокойно попивать кофеек, изредка поглядывая на дашборды. Удаленка, комфортная жизнь, возможность заниматься хобби – вот что действительно ценно. И, конечно, ранний выход на пенсию, чтобы наконец-то собрать тот самый идеальный домашний сервер... или все-таки купить тех самых коз 👨‍🦳

Главное – не забывать делать apt update && apt upgrade -y своим знаниям и интересам.

А какой у вас "эндшпиль", куда двигаетесь? И есть ли уже у кого КОЗЫ?

Типичный 🥸 Сисадмин

Эта диаграмма – отличное напоминание о важности аудита ПО из-за хаоса с корпоративным софтом.

Типичный 🎩 Сисадмин