Новые сервисы для надежности вашей инфраструктуры 🔗
Облачный провайдер Cloud․ru выпустил три сервиса в общий доступ на платформе Cloud․ru Evolution. Используйте их, чтобы повысить защиту ваших ресурсов.
➡️Evolution Load Balancer v2 помогает быстро и стабильно распределять нагрузку, работая сразу в нескольких зонах доступности. С этим сервисом вы можете быть уверены в стабильности работы своих систем, даже в случае сбоев в одной из зон.
➡️Evolution Agent Backup создает резервные копии виртуальных машин из облаков сторонних провайдеров, экономя место и время благодаря полным и инкрементальным копиям.
➡️Evolution Disaster Recovery обеспечивает быстрое восстановление работы IT-систем при сбоях или киберинцидентах.
А еще вы можете бесплатно протестировать Evolution Container Security — сервис, который помогает выявлять проблемы безопасности на всех этапах жизненного цикла контейнерных приложений.
Все сервисы работают с поддержкой 24/7, гарантированным SLA и возможностью масштабирования нагрузки.
Облачный провайдер Cloud․ru выпустил три сервиса в общий доступ на платформе Cloud․ru Evolution. Используйте их, чтобы повысить защиту ваших ресурсов.
➡️Evolution Load Balancer v2 помогает быстро и стабильно распределять нагрузку, работая сразу в нескольких зонах доступности. С этим сервисом вы можете быть уверены в стабильности работы своих систем, даже в случае сбоев в одной из зон.
➡️Evolution Agent Backup создает резервные копии виртуальных машин из облаков сторонних провайдеров, экономя место и время благодаря полным и инкрементальным копиям.
➡️Evolution Disaster Recovery обеспечивает быстрое восстановление работы IT-систем при сбоях или киберинцидентах.
А еще вы можете бесплатно протестировать Evolution Container Security — сервис, который помогает выявлять проблемы безопасности на всех этапах жизненного цикла контейнерных приложений.
Все сервисы работают с поддержкой 24/7, гарантированным SLA и возможностью масштабирования нагрузки.
Как быстро протестировать регулярные выражения
Я тут как-то задумался, какие вообще есть быстрые способы потестить свою регулярку. Нашёл несколько вариантов - собственно, об этом и пост: как быстро проверить регулярные выражения и понять, правильные они или нет.
https://telegra.ph/Kak-bystro-protestirovat-regulyarnye-vyrazheniya-12-13
#ит_статьи #regex #linux #bash #grep
Я тут как-то задумался, какие вообще есть быстрые способы потестить свою регулярку. Нашёл несколько вариантов - собственно, об этом и пост: как быстро проверить регулярные выражения и понять, правильные они или нет.
https://telegra.ph/Kak-bystro-protestirovat-regulyarnye-vyrazheniya-12-13
#ит_статьи #regex #linux #bash #grep
Telegraph
Как быстро протестировать регулярные выражения
Я тут как-то задумался, какие вообще есть быстрые способы потестить свою регулярку. Нашёл несколько вариантов - собственно, об этом и пост: как быстро проверить регулярные выражения и понять, правильные они или нет. 1. Самое банальное - зайти в Google и поискать…
👍18🔥2
Sara: RouterOS Security Inspector
Полезный анализатор конфигураций RouterOS для поиска ошибок в настройках безопасности и уязвимостей.
Что именно проверяет Sara:
🔵 Активность протокола SMB – определяет, включён ли SMB, который может быть уязвим к CVE-2018-7445;
🔵 Статус RMI-интерфейсов – выявляет активные сервисы управления (Telnet, FTP, Winbox, API, HTTP/HTTPS);
🔵 Проверка безопасности Wi-Fi – определяет, включены ли WPS и поддержка PMKID, которые могут использоваться в атаках на WPA2-PSK;
🔵 На данный момент эта проверка имеет небольшие проблемы стабильности, так как разные версии RouterOS используют разные варианты Wi-Fi-конфигураций. Имейте это в виду, но вы можете сообщить о проблеме — мы рассмотрим её.
🔵 Проверка UPnP – определяет, включён ли UPnP, который может автоматически пробрасывать порты и угрожать безопасности сети;
🔵 Проверка настроек DNS – обнаруживает, включён ли параметр allow-remote-requests, превращающий роутер в DNS-сервер;
🔵 Проверка DDNS – определяет, активирован ли динамический DNS, который может раскрыть реальный IP-адрес устройства;
🔵 PoE-тест – проверяет, включён ли PoE, что может повредить подключённые устройства;
🔵 Проверка безопасности RouterBOOT – определяет, включена ли защита загрузчика RouterBOOT;
🔵 Проверка SOCKS Proxy – выявляет активный SOCKS-прокси, который может использоваться злоумышленником для pivot-атак, а также указывать на компрометацию устройства;
🔵 Bandwidth Server Test (BTest) – определяет, включён ли сервер тестирования пропускной способности, который может быть использован злоумышленником для Flood-атаки;
🔵 Проверка discovery-протоколов – определяет, активны ли CDP, LLDP, MNDP, которые могут раскрывать сетевую информацию;
🔵 Проверка минимальной длины пароля – определяет, установлен ли параметр minimum-password-length для предотвращения использования слабых паролей;
🔵 Проверка SSH – анализирует настройки SSH, включая использование strong-crypto и разрешения на Port Forwarding;
🔵 Проверка Connection Tracking – определяет, включён ли Connection Tracking, который может повышать нагрузку и открывать дополнительные векторы атак;
🔵 Проверка RoMON – выявляет активность RoMON, позволяющего управлять устройствами на уровне L2;
🔵 Проверка Winbox MAC Server – анализирует доступ по MAC-адресу через Winbox и Telnet, что может быть уязвимостью в локальной сети;
🔵 Проверка SNMP – обнаруживает использование слабых SNMP-строк сообщества (public, private);
🔵 Проверка NAT-правил – анализирует правила проброса портов (dst-nat, netmap), которые могут дать доступ к внутренним сервисам извне;
🔵 Проверка сетевого доступа к RMI – определяет, ограничен ли доступ к критическим сервисам (API, Winbox, SSH) только доверенными IP-адресами;
🔵 Проверка версии RouterOS – анализирует текущую версию RouterOS и сравнивает её с известными уязвимыми версиями;
🔵 Проверка уязвимостей RouterOS – сверяет версию RouterOS с базой CVE и показывает список известных уязвимостей;
🔵 Функция “Keep Password” в Winbox – предупреждает о потенциальной опасности использования опции «Keep Password»;
🔵 Проверка стандартных логинов – определяет использование типовых учётных записей (admin, engineer, test, mikrotik);
🔵 Проверка планировщиков (schedulers) – обнаруживает вредоносные задачи, загружающие удалённые скрипты, выполняющие скрытые перезагрузки или запускающиеся слишком часто;
🔵 Проверка статических DNS-записей – анализирует статические DNS-записи, которые могут использоваться для фишинга и MITM-атак.
https://github.com/caster0x00/Sara
#ит_заметки #network #routeros #mikrotik #security
Полезный анализатор конфигураций RouterOS для поиска ошибок в настройках безопасности и уязвимостей.
Что именно проверяет Sara:
https://github.com/caster0x00/Sara
#ит_заметки #network #routeros #mikrotik #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥9🤨2
Linux Capabilities в контейнерах
В этой заметке мы разберём, как запускать контейнеры от пользователя без root-прав: настроим Dockerfile, разрулим права доступа и затронем проблемы, с которыми сталкиваются реальные приложения.
https://telegra.ph/Linux-Capabilities-v-kontejnerah-12-15
#ит_статьи #linux #docker #capabilities #containers
В этой заметке мы разберём, как запускать контейнеры от пользователя без root-прав: настроим Dockerfile, разрулим права доступа и затронем проблемы, с которыми сталкиваются реальные приложения.
https://telegra.ph/Linux-Capabilities-v-kontejnerah-12-15
#ит_статьи #linux #docker #capabilities #containers
Telegraph
Linux Capabilities в контейнерах
В этой заметке мы разберём, как запускать контейнеры от пользователя без root-прав: настроим Dockerfile, разрулим права доступа и затронем проблемы, с которыми сталкиваются реальные приложения. Чтобы запустить контейнер не от root, достаточно создать пользователя…
👍16
Kubernetes SecurityContext: разбор с примерами
В этой заметке (продолжающей вчерашнюю тему) разбираемся, почему поды без root-доступа - это важно, и подробно рассматриваем параметры Kubernetes SecurityContext, которые позволяют принудительно настраивать запуск от non-root пользователя на уровне пода и контейнера.
https://telegra.ph/Kubernetes-SecurityContext-razbor-s-primerami-12-16
#ит_статьи #devops #kubernnetes #containers #security
В этой заметке (продолжающей вчерашнюю тему) разбираемся, почему поды без root-доступа - это важно, и подробно рассматриваем параметры Kubernetes SecurityContext, которые позволяют принудительно настраивать запуск от non-root пользователя на уровне пода и контейнера.
https://telegra.ph/Kubernetes-SecurityContext-razbor-s-primerami-12-16
#ит_статьи #devops #kubernnetes #containers #security
👍13
Terminus (Tabby) – Кросс-платформенный терминал с возможностью тонкой конфигурации.
Возможности:
- Встроенный SSH- и Telnet-клиент с менеджером подключений
- Встроенный serial-терминал
- Темы оформления и цветовые схемы
- Полностью настраиваемые сочетания клавиш, включая многошаговые (multi-chord)
- Разделение окна на панели (split panes)
- Запоминает открытые вкладки
- Поддержка PowerShell (включая PowerShell Core), WSL, Git Bash, Cygwin, MSYS2, Cmder и CMD
- Прямая передача файлов из/в SSH-сессии через Zmodem
- Полная поддержка Unicode, включая символы двойной ширины
- Корректно работает с быстрыми потоками вывода без подвисаний
- Полноценный shell-опыт в Windows, включая автодополнение по Tab (через Clink)
- Встроенное зашифрованное хранилище для SSH-секретов и конфигураций
- SSH-, SFTP- и Telnet-клиент в виде веб-приложения (в том числе с возможностью самостоятельного хостинга)
https://github.com/Eugeny/tabby
#ит_заметки #linux #windows #terminal_emulator
Возможности:
- Встроенный SSH- и Telnet-клиент с менеджером подключений
- Встроенный serial-терминал
- Темы оформления и цветовые схемы
- Полностью настраиваемые сочетания клавиш, включая многошаговые (multi-chord)
- Разделение окна на панели (split panes)
- Запоминает открытые вкладки
- Поддержка PowerShell (включая PowerShell Core), WSL, Git Bash, Cygwin, MSYS2, Cmder и CMD
- Прямая передача файлов из/в SSH-сессии через Zmodem
- Полная поддержка Unicode, включая символы двойной ширины
- Корректно работает с быстрыми потоками вывода без подвисаний
- Полноценный shell-опыт в Windows, включая автодополнение по Tab (через Clink)
- Встроенное зашифрованное хранилище для SSH-секретов и конфигураций
- SSH-, SFTP- и Telnet-клиент в виде веб-приложения (в том числе с возможностью самостоятельного хостинга)
https://github.com/Eugeny/tabby
#ит_заметки #linux #windows #terminal_emulator
👍21
Простая настройка CA с Kubernetes Cert
Иногда имеет смысл поднять собственный центр сертификации, чтобы выпускать сертификаты для всех сервисов, которые крутятся в вашем кластере. Самый простой способ сделать это (из тех, что я нашёл на данный момент) - запустить cert-manager прямо в Kubernetes-кластере.
https://telegra.ph/Prostaya-nastrojka-CA-s-Kubernetes-Cert-12-18
#ит_статьи #devops #kubernetes #certmanager #ssl #ca #minikube
Иногда имеет смысл поднять собственный центр сертификации, чтобы выпускать сертификаты для всех сервисов, которые крутятся в вашем кластере. Самый простой способ сделать это (из тех, что я нашёл на данный момент) - запустить cert-manager прямо в Kubernetes-кластере.
https://telegra.ph/Prostaya-nastrojka-CA-s-Kubernetes-Cert-12-18
#ит_статьи #devops #kubernetes #certmanager #ssl #ca #minikube
Telegraph
Простая настройка CA с Kubernetes Cert
Иногда имеет смысл поднять собственный центр сертификации, чтобы выпускать сертификаты для всех сервисов, которые крутятся в вашем кластере. Самый простой способ сделать это (из тех, что я нашёл на данный момент) - запустить cert-manager прямо в Kubernetes…
👍15
Termshark
Терминальный пользовательский интерфейс для tshark, вдохновлённый Wireshark.
Если вы отлаживаетесь на удалённой машине, у вас большой pcap и совсем не хочется тащить его обратно на десктоп через scp - termshark может выручить.
Возможности:
- Чтение pcap-файлов или захват трафика с живых интерфейсов (там, где tshark разрешён)
- Фильтрация pcap’ов и live-захватов с помощью display-фильтров Wireshark
- Реассемблирование и анализ TCP- и UDP-потоков
- Просмотр сетевых «разговоров» по протоколам
- Копирование диапазонов пакетов в буфер обмена прямо из терминала
- Написан на Golang, собирается в один исполняемый файл для каждой платформы - доступны сборки для Linux, macOS, BSD-вариантов, Android (termux) и Windows
https://github.com/gcla/termshark
#ит_заметки #network #termshark #open_source
Терминальный пользовательский интерфейс для tshark, вдохновлённый Wireshark.
Если вы отлаживаетесь на удалённой машине, у вас большой pcap и совсем не хочется тащить его обратно на десктоп через scp - termshark может выручить.
Возможности:
- Чтение pcap-файлов или захват трафика с живых интерфейсов (там, где tshark разрешён)
- Фильтрация pcap’ов и live-захватов с помощью display-фильтров Wireshark
- Реассемблирование и анализ TCP- и UDP-потоков
- Просмотр сетевых «разговоров» по протоколам
- Копирование диапазонов пакетов в буфер обмена прямо из терминала
- Написан на Golang, собирается в один исполняемый файл для каждой платформы - доступны сборки для Linux, macOS, BSD-вариантов, Android (termux) и Windows
https://github.com/gcla/termshark
#ит_заметки #network #termshark #open_source
GitHub
GitHub - gcla/termshark: A terminal UI for tshark, inspired by Wireshark
A terminal UI for tshark, inspired by Wireshark. Contribute to gcla/termshark development by creating an account on GitHub.
👍13🔥8
Лучшие практики по настройке конфигураций в Kubernetes
Конфигурация в Kubernetes — одна из тех вещей, что кажутся мелочью, пока не станут крупной проблемой. Именно конфигурация является сердцем любой рабочей нагрузки. Пропущенная кавычка, неправильная версия API или сбившийся отступ в YAML-файле способны полностью сломать ваш деплой.
В этой статье собраны проверенные временем рекомендации по работе с конфигурацией. Это те самые полезные привычки-практики, которые делают инфраструктуру Kubernetes чистой, консистентной и лёгкой в управлении. Независимо от того, только начинаете ли вы свой путь или развёртываете приложения ежедневно, эти мелочи помогут поддерживать стабильность кластера и сберегут ваши нервы в будущем.
Статья написана по мотивам оригинальной страницы Configuration Best Practices с лучшими практиками по конфигурации, которая со временем пополнялась благодаря вкладу многих участников сообщества Kubernetes.
https://telegra.ph/Luchshie-praktiki-po-nastrojke-konfiguracij-v-Kubernetes-12-20
#ит_статьи #devops #kubernetes #deployment #best_practice
Конфигурация в Kubernetes — одна из тех вещей, что кажутся мелочью, пока не станут крупной проблемой. Именно конфигурация является сердцем любой рабочей нагрузки. Пропущенная кавычка, неправильная версия API или сбившийся отступ в YAML-файле способны полностью сломать ваш деплой.
В этой статье собраны проверенные временем рекомендации по работе с конфигурацией. Это те самые полезные привычки-практики, которые делают инфраструктуру Kubernetes чистой, консистентной и лёгкой в управлении. Независимо от того, только начинаете ли вы свой путь или развёртываете приложения ежедневно, эти мелочи помогут поддерживать стабильность кластера и сберегут ваши нервы в будущем.
Статья написана по мотивам оригинальной страницы Configuration Best Practices с лучшими практиками по конфигурации, которая со временем пополнялась благодаря вкладу многих участников сообщества Kubernetes.
https://telegra.ph/Luchshie-praktiki-po-nastrojke-konfiguracij-v-Kubernetes-12-20
#ит_статьи #devops #kubernetes #deployment #best_practice
Telegraph
Лучшие практики по настройке конфигураций в Kubernetes
Конфигурация в Kubernetes — одна из тех вещей, что кажутся мелочью, пока не станут крупной проблемой. Именно конфигурация является сердцем любой рабочей нагрузки. Пропущенная кавычка, неправильная версия API или сбившийся отступ в YAML-файле способны полностью…
👍13✍3
Монтирование виртуального диска ВМ на гипервизоре KVM с помощью Libguestfs
Допустим, у вас есть ВМ, и вам нужно примонтировать её виртуальный диск прямо на гипервизоре - как это сделать? Например, чтобы сбросить пароль root, проверить какие-то файлы, или если ВМ была скомпрометирована и вы хотите подробнее проанализировать источник атаки, не запуская саму виртуальную машину.
https://telegra.ph/Montirovanie-virtualnogo-diska-VM-na-gipervizore-KVM-s-pomoshchyu-Libguestfs-12-21
#ит_заметки #linux #kvm #virsh #libguestfs
Допустим, у вас есть ВМ, и вам нужно примонтировать её виртуальный диск прямо на гипервизоре - как это сделать? Например, чтобы сбросить пароль root, проверить какие-то файлы, или если ВМ была скомпрометирована и вы хотите подробнее проанализировать источник атаки, не запуская саму виртуальную машину.
https://telegra.ph/Montirovanie-virtualnogo-diska-VM-na-gipervizore-KVM-s-pomoshchyu-Libguestfs-12-21
#ит_заметки #linux #kvm #virsh #libguestfs
Telegraph
Монтирование виртуального диска ВМ на гипервизоре KVM с помощью Libguestfs
Допустим, у вас есть ВМ, и вам нужно примонтировать её виртуальный диск прямо на гипервизоре - как это сделать? Например, чтобы сбросить пароль root, проверить какие-то файлы, или если ВМ была скомпрометирована и вы хотите подробнее проанализировать источник…
👍18👏2
Используем файл конфигурации SSH
Каждый день нам приходиться подключаться к удалённым хостам с помощью ssh.
Сначала мы генерируем пару ключей: приватный и публичный. Публичный кладем на удаленный компьютер. Далее вбиваем в терминале что-то вроде ssh username@210.190.13.14. Соединение установлено и мы можем работать на удаленном компьютере как на собcтвенном. Отлично, но что делать если вы хотите подключаться к нескольким удаленным компьютерам? Можно поступить глупо и положить на все удаленные сервера один и тот же публичный ключ. Это будет работать, но значительно снизит безопасность таких соединений.
В идеальном мире, каждое соединение должно осуществляться с собственной парой приватного и публичного ключа. К примеру, если вам понадобится дать своему коллеге доступ к серверу, вы можете передать ему только один ключ (в идеале нужно сгенерировать новый) и коллега получит доступ только к одному компьютеру, а не ко всем сразу. К тому же, разные сервера имеют разные ip адреса, на них установлены разные пользователи, могут быть нестандартные порты и другие мелкие детали. Все это нужно помнить, либо где-то записывать. Все это отнимает наше драгоценное время.
Один из вариантов - насоздавать алиасов для каждого подключения к удаленному серверу (однажды мне удалось лицезреть такого монстра вживую). Однако есть другое, гораздо лучшее и более простое решение этой проблемы. SSH позволяет вам настроить файл конфигурации для каждого пользователя, в котором вы можете хранить различные параметры SSH для каждой удаленной машины, к которой вы подключаетесь.
https://telegra.ph/Ispolzuem-fajl-konfiguracii-SSH-12-22
#ит_статьи #linux #shell #ssh #config
Каждый день нам приходиться подключаться к удалённым хостам с помощью ssh.
Сначала мы генерируем пару ключей: приватный и публичный. Публичный кладем на удаленный компьютер. Далее вбиваем в терминале что-то вроде ssh username@210.190.13.14. Соединение установлено и мы можем работать на удаленном компьютере как на собcтвенном. Отлично, но что делать если вы хотите подключаться к нескольким удаленным компьютерам? Можно поступить глупо и положить на все удаленные сервера один и тот же публичный ключ. Это будет работать, но значительно снизит безопасность таких соединений.
В идеальном мире, каждое соединение должно осуществляться с собственной парой приватного и публичного ключа. К примеру, если вам понадобится дать своему коллеге доступ к серверу, вы можете передать ему только один ключ (в идеале нужно сгенерировать новый) и коллега получит доступ только к одному компьютеру, а не ко всем сразу. К тому же, разные сервера имеют разные ip адреса, на них установлены разные пользователи, могут быть нестандартные порты и другие мелкие детали. Все это нужно помнить, либо где-то записывать. Все это отнимает наше драгоценное время.
Один из вариантов - насоздавать алиасов для каждого подключения к удаленному серверу (однажды мне удалось лицезреть такого монстра вживую). Однако есть другое, гораздо лучшее и более простое решение этой проблемы. SSH позволяет вам настроить файл конфигурации для каждого пользователя, в котором вы можете хранить различные параметры SSH для каждой удаленной машины, к которой вы подключаетесь.
https://telegra.ph/Ispolzuem-fajl-konfiguracii-SSH-12-22
#ит_статьи #linux #shell #ssh #config
Telegraph
Используем файл конфигурации SSH
Каждый день нам приходиться подключаться к удалённым хостам с помощью ssh. Сначала мы генерируем пару ключей: приватный и публичный. Публичный кладем на удаленный компьютер. Далее вбиваем в терминале что-то вроде ssh username@210.190.13.14 Соединение установлено…
👍14🔥3😱1
Logrotate: приводим лог-файлы в порядок
Все, кто админил Linux, в курсе, что логи имеют свойство расти как на дрожжах (в отдельных случаях катастрофически быстро). Без контроля они спокойно сожрут весь диск, и не подавятся.
На помощь, для решения этой проблемы, приходит logrotate - стандартная утилита, которая автоматически ротирует, сжимает и при необходимости удаляет старые логи. С ней система остаётся стабильнее, а разбираться в логах становится намного проще.
https://telegra.ph/Logrotate-privodim-log-fajly-v-poryadok-12-23
#ит_статьи #linux #logs #logrotate
Все, кто админил Linux, в курсе, что логи имеют свойство расти как на дрожжах (в отдельных случаях катастрофически быстро). Без контроля они спокойно сожрут весь диск, и не подавятся.
На помощь, для решения этой проблемы, приходит logrotate - стандартная утилита, которая автоматически ротирует, сжимает и при необходимости удаляет старые логи. С ней система остаётся стабильнее, а разбираться в логах становится намного проще.
https://telegra.ph/Logrotate-privodim-log-fajly-v-poryadok-12-23
#ит_статьи #linux #logs #logrotate
Telegraph
Logrotate: приводим лог-файлы в порядок
В Linux-системе один из самых интересных каталогов - /var/log. Именно туда (или в один из подкаталогов) большинство сервисов, работающих в системе, записывают свою активность. Такие файлы называют логами (файлы с расширением .log). На картинке выше вы увидите…
👍9🔥6✍1
Привязка функциональных клавиш к bash
Недавно коллега задал между делом вопрос, который ввёл меня в ступор.
Как назначить F-клавиши (функциональные клавиши) на клавиатуре для выполнения команд bash?
Несмотря на много лет работы с Linux, я об этом даже не задумывался. Так что пришлось разобраться - и заодно узнать, как это делается.
Есть два рабочих способа. Либо добавить запись в файл inputrc, либо использовать команду bind. Оба варианта работают и у каждого есть свои плюсы.
https://telegra.ph/Privyazka-funkcionalnyh-klavish-k-bash-12-24
#ит_статьи #linux #shell #bash
Недавно коллега задал между делом вопрос, который ввёл меня в ступор.
Как назначить F-клавиши (функциональные клавиши) на клавиатуре для выполнения команд bash?
Несмотря на много лет работы с Linux, я об этом даже не задумывался. Так что пришлось разобраться - и заодно узнать, как это делается.
Есть два рабочих способа. Либо добавить запись в файл inputrc, либо использовать команду bind. Оба варианта работают и у каждого есть свои плюсы.
https://telegra.ph/Privyazka-funkcionalnyh-klavish-k-bash-12-24
#ит_статьи #linux #shell #bash
Telegraph
Привязка функциональных клавиш к bash
Недавно коллега задал между делом вопрос, который ввёл меня в ступор. Как назначить F-клавиши (функциональные клавиши) на клавиатуре для выполнения команд bash? Несмотря на много лет работы с Linux, я об этом даже не задумывался. Так что пришлось разобраться…
👍14
Отслеживание утечек памяти с помощью ProcDump для Linux
Довольно часто, когда речь заходит о генерации core dump’ов по триггерам, связанным с памятью, мы сталкиваемся с проблемой: как понять, куда именно таинственным образом утекает память, имея на руках только core dump? А ведь было бы здорово получить не только core dump, но и стеки вызовов для утекшей памяти. В ProcDump для Linux есть поддержка и того, и другого.
https://telegra.ph/Otslezhivanie-utechek-pamyati-s-pomoshchyu-ProcDump-dlya-Linux-12-25
#ит_статьи #linux #kernel #procdump #debug
Довольно часто, когда речь заходит о генерации core dump’ов по триггерам, связанным с памятью, мы сталкиваемся с проблемой: как понять, куда именно таинственным образом утекает память, имея на руках только core dump? А ведь было бы здорово получить не только core dump, но и стеки вызовов для утекшей памяти. В ProcDump для Linux есть поддержка и того, и другого.
https://telegra.ph/Otslezhivanie-utechek-pamyati-s-pomoshchyu-ProcDump-dlya-Linux-12-25
#ит_статьи #linux #kernel #procdump #debug
Telegraph
Отслеживание утечек памяти с помощью ProcDump для Linux
Довольно часто, когда речь заходит о генерации core dump’ов по триггерам, связанным с памятью, мы сталкиваемся с проблемой: как понять, куда именно таинственным образом утекает память, имея на руках только core dump? А ведь было бы здорово получить не только…
👍16
Ловушки PowerShell: поведение, которое ломает привычные ожидания разработчиков
В этой статье собраны непривычные, нелогичные и местами раздражающие особенности PowerShell, с которыми столкнулся в реальных проектах.
https://telegra.ph/Lovushki-PowerShell-povedenie-kotoroe-lomaet-privychnye-ozhidaniya-razrabotchikov-12-26
#ит_статьи #windows #powershell #best_practice
В этой статье собраны непривычные, нелогичные и местами раздражающие особенности PowerShell, с которыми столкнулся в реальных проектах.
https://telegra.ph/Lovushki-PowerShell-povedenie-kotoroe-lomaet-privychnye-ozhidaniya-razrabotchikov-12-26
#ит_статьи #windows #powershell #best_practice
Telegraph
Ловушки PowerShell: поведение, которое ломает привычные ожидания разработчиков
оригинал В этой статье собраны непривычные, нелогичные и местами раздражающие особенности PowerShell, с которыми столкнулся в реальных проектах. Начну со своего "любимого" поведения в PowerShell. В Powershell оператор return не то, к чему мы привыкли Сможете…
🔥8👍7✍1
Погружение в ключевые механизмы Docker: файловая система OverlayFS
Изучаем внутреннюю работу OverlayFS — файловой системы, лежащей в основе образов и контейнеров Docker. В этой статье исследована одна из частей архитектуры Docker — файловая система для Linux.
Работать с Docker CLI довольно легко — вы просто создаете, запускаете, проверяете, извлекаете и отправляете контейнеры и образы. Но задумывались ли вы над тем, как на самом деле работают внутренние компоненты в Docker-интерфейсе?
Здесь скрывается множество интересных технологий, и в этой статье мы рассмотрим одну из них — union filesystem — файловую систему, лежащую в основе всех слоев контейнеров и образов.
https://telegra.ph/Polnoe-pogruzhenie-v-Docker-fajlovaya-sistema-OverlayFS-12-27
#ит_статьи #devops #linux #docker #overlayfs
Изучаем внутреннюю работу OverlayFS — файловой системы, лежащей в основе образов и контейнеров Docker. В этой статье исследована одна из частей архитектуры Docker — файловая система для Linux.
Работать с Docker CLI довольно легко — вы просто создаете, запускаете, проверяете, извлекаете и отправляете контейнеры и образы. Но задумывались ли вы над тем, как на самом деле работают внутренние компоненты в Docker-интерфейсе?
Здесь скрывается множество интересных технологий, и в этой статье мы рассмотрим одну из них — union filesystem — файловую систему, лежащую в основе всех слоев контейнеров и образов.
https://telegra.ph/Polnoe-pogruzhenie-v-Docker-fajlovaya-sistema-OverlayFS-12-27
#ит_статьи #devops #linux #docker #overlayfs
Telegraph
Полное погружение в Docker: файловая система OverlayFS
Изучаем внутреннюю работу OverlayFS — файловой системы, лежащей в основе образов и контейнеров Docker. В этой статье исследована одна из частей архитектуры Docker — файловая система для Linux. Работать с Docker CLI довольно легко — вы просто создаете, запускаете…
👍16
IPv6 в доменных сетях: скрытый фактор атак на Active Directory
Во многих современных IT-системах IPv6, как правило, включён по умолчанию. Это относится и к операционным системам, и к серверам, и к сетевому оборудованию, и к контейнерным платформам. Даже если в компании или проекте официально используется только IPv4, IPv6 чаще всего уже присутствует и функционирует — без явного внимания со стороны архитекторов и специалистов по ИБ.
Это важный момент, потому что безопасность обычно строится вокруг того, что явно спроектировано. Если протокол не заложен в архитектуру, под него редко настраивают фильтрацию, мониторинг и контроль. IPv6 в таких случаях — не «новая технология», а незадокументированный элемент системы.
На уровне операционных систем ситуация выглядит достаточно просто. Windows, Linux и другие распространённые ОС по умолчанию включают IPv6-стек. Хост получает link-local адрес, начинает участвовать в обмене служебным IPv6-трафиком и может принимать соединения по IPv6, даже если в сети никто сознательно не планировал его использование. При этом администратор уверен, что система «IPv4-only», потому что все прикладные настройки и политики на хостах делались именно под IPv4. Фильтрация и правила доступа при этом настраиваются только для IPv4, потому что именно он фигурирует в техническом задании и в документации.
Да, нормальный межсетевой экран настроен на блокировку всех соединений, если явно не разрешено иное. Однако IPv6 трафик на этапе атаки не ходит через пограничный сетевой файрвол, который «рулит» основной частью трафика. Он остается в своем сегменте и ходит между соседями, хостовый файрвол которых разрешает такие соединения.
В результате сервер может оказаться доступным по IPv6 по совершенно другой логике, чем по IPv4, и это долгое время остаётся незамеченным. Отсутствие контроля приводит к тому, что всё использование IPv6 в организации является неучтенной поверхностью атаки.
https://telegra.ph/IPv6-v-domennyh-setyah-skrytyj-faktor-atak-na-Active-Directory-12-28
#ит_статьи #network #windows #active_directory #ipv6
Во многих современных IT-системах IPv6, как правило, включён по умолчанию. Это относится и к операционным системам, и к серверам, и к сетевому оборудованию, и к контейнерным платформам. Даже если в компании или проекте официально используется только IPv4, IPv6 чаще всего уже присутствует и функционирует — без явного внимания со стороны архитекторов и специалистов по ИБ.
Это важный момент, потому что безопасность обычно строится вокруг того, что явно спроектировано. Если протокол не заложен в архитектуру, под него редко настраивают фильтрацию, мониторинг и контроль. IPv6 в таких случаях — не «новая технология», а незадокументированный элемент системы.
На уровне операционных систем ситуация выглядит достаточно просто. Windows, Linux и другие распространённые ОС по умолчанию включают IPv6-стек. Хост получает link-local адрес, начинает участвовать в обмене служебным IPv6-трафиком и может принимать соединения по IPv6, даже если в сети никто сознательно не планировал его использование. При этом администратор уверен, что система «IPv4-only», потому что все прикладные настройки и политики на хостах делались именно под IPv4. Фильтрация и правила доступа при этом настраиваются только для IPv4, потому что именно он фигурирует в техническом задании и в документации.
Да, нормальный межсетевой экран настроен на блокировку всех соединений, если явно не разрешено иное. Однако IPv6 трафик на этапе атаки не ходит через пограничный сетевой файрвол, который «рулит» основной частью трафика. Он остается в своем сегменте и ходит между соседями, хостовый файрвол которых разрешает такие соединения.
В результате сервер может оказаться доступным по IPv6 по совершенно другой логике, чем по IPv4, и это долгое время остаётся незамеченным. Отсутствие контроля приводит к тому, что всё использование IPv6 в организации является неучтенной поверхностью атаки.
https://telegra.ph/IPv6-v-domennyh-setyah-skrytyj-faktor-atak-na-Active-Directory-12-28
#ит_статьи #network #windows #active_directory #ipv6
Telegraph
IPv6 в доменных сетях: скрытый фактор атак на Active Directory
Во многих современных IT-системах IPv6, как правило, включён по умолчанию. Это относится и к операционным системам, и к серверам, и к сетевому оборудованию, и к контейнерным платформам. Даже если в компании или проекте официально используется только IPv4…
👍16👀1
ComplianceAsCode/content
ComplianceAsCode/content — это мощный набор инструментов для автоматизации проверки соответствия систем стандартам безопасности.
Репозиторий содержит готовые политики и профили для популярных стандартов (CIS, DISA STIG, PCI DSS и др.), которые можно применять для Linux-систем. Всё построено на основе SCAP (Security Content Automation Protocol).
Основные возможности:
- Автоматическая генерация правил и профилей безопасности.
- Проверка конфигурации систем на соответствие стандартам.
- Интеграция с инструментами вроде OpenSCAP.
- Поддержка множества дистрибутивов Linux (RHEL, Fedora, Ubuntu, Debian и др.).
Этот проект идеально подходит для DevSecOps и админов, которым нужно централизованно управлять политиками безопасности и быть уверенными, что инфраструктура соответствует нормативам.
https://github.com/ComplianceAsCode/content
#ит_заметки #devsecops #security #ansible #hardening
ComplianceAsCode/content — это мощный набор инструментов для автоматизации проверки соответствия систем стандартам безопасности.
Репозиторий содержит готовые политики и профили для популярных стандартов (CIS, DISA STIG, PCI DSS и др.), которые можно применять для Linux-систем. Всё построено на основе SCAP (Security Content Automation Protocol).
Основные возможности:
- Автоматическая генерация правил и профилей безопасности.
- Проверка конфигурации систем на соответствие стандартам.
- Интеграция с инструментами вроде OpenSCAP.
- Поддержка множества дистрибутивов Linux (RHEL, Fedora, Ubuntu, Debian и др.).
Этот проект идеально подходит для DevSecOps и админов, которым нужно централизованно управлять политиками безопасности и быть уверенными, что инфраструктура соответствует нормативам.
https://github.com/ComplianceAsCode/content
#ит_заметки #devsecops #security #ansible #hardening
👍10🔥6✍6
Объяснение команды file в Linux: как мгновенно определить реальный тип файла
Расширения файлов в Linux часто вводят в заблуждение. Файл с именем noscript.sh может не быть скриптом. Файл с именем backup.tar.gz может не быть архивом. Поэтому администраторы Linux часто полагаются на команду file.
Команда file определяет истинный тип файла, считывая его содержимое, а не имя. В этом руководстве мы расскажем вам, как использовать команду file на примерах. Мы также приведем несколько реальных историй о решении проблем и краткую шпаргалку.
#ит_статьи #linux #shell #file #cheatsheet
Расширения файлов в Linux часто вводят в заблуждение. Файл с именем noscript.sh может не быть скриптом. Файл с именем backup.tar.gz может не быть архивом. Поэтому администраторы Linux часто полагаются на команду file.
Команда file определяет истинный тип файла, считывая его содержимое, а не имя. В этом руководстве мы расскажем вам, как использовать команду file на примерах. Мы также приведем несколько реальных историй о решении проблем и краткую шпаргалку.
#ит_статьи #linux #shell #file #cheatsheet
👍18
Построение кластера высокой доступности с HAProxy и Keepalived в Docker
Высокая доступность (aka HA) критически важна, если вы хотите, чтобы веб-приложения оставались доступными даже при сбоях оборудования или программного обеспечения. Архитектура HA распределяет трафик между несколькими серверами и позволяет избежать единой точки отказа. В этой статье мы разберём, как построить кластер высокой доступности с использованием HAProxy и Keepalived - двух мощных инструментов для балансировки нагрузки и failover’а.
Чтобы повысить гибкость и упростить развёртывание, мы будем использовать Docker для контейнеризации HAProxy, Keepalived и наших веб-приложений. Docker позволяет собрать переносимую и удобную в управлении HA-конфигурацию, которую можно запускать в разных средах - как on-premises, так и в облаке.
По ходу руководства мы пройдём весь путь целиком: от настройки Docker-сетей и сборки Dockerfile’ов до конфигурации HAProxy и Keepalived для бесшовного failover’а. В итоге у вас получится полностью рабочий HA-кластер, который гарантирует постоянную доступность веб-приложений - и всё это в Docker-окружении.
https://telegra.ph/Postroenie-klastera-vysokoj-dostupnosti-s-HAProxy-i-Keepalived-v-Docker-01-01
#ит_статьи #devops #linux #haproxy #keepalived #docker
Высокая доступность (aka HA) критически важна, если вы хотите, чтобы веб-приложения оставались доступными даже при сбоях оборудования или программного обеспечения. Архитектура HA распределяет трафик между несколькими серверами и позволяет избежать единой точки отказа. В этой статье мы разберём, как построить кластер высокой доступности с использованием HAProxy и Keepalived - двух мощных инструментов для балансировки нагрузки и failover’а.
Чтобы повысить гибкость и упростить развёртывание, мы будем использовать Docker для контейнеризации HAProxy, Keepalived и наших веб-приложений. Docker позволяет собрать переносимую и удобную в управлении HA-конфигурацию, которую можно запускать в разных средах - как on-premises, так и в облаке.
По ходу руководства мы пройдём весь путь целиком: от настройки Docker-сетей и сборки Dockerfile’ов до конфигурации HAProxy и Keepalived для бесшовного failover’а. В итоге у вас получится полностью рабочий HA-кластер, который гарантирует постоянную доступность веб-приложений - и всё это в Docker-окружении.
https://telegra.ph/Postroenie-klastera-vysokoj-dostupnosti-s-HAProxy-i-Keepalived-v-Docker-01-01
#ит_статьи #devops #linux #haproxy #keepalived #docker
Telegraph
Построение кластера высокой доступности с HAProxy и Keepalived в Docker
Высокая доступность (aka HA) критически важна, если вы хотите, чтобы веб-приложения оставались доступными даже при сбоях оборудования или программного обеспечения. Архитектура HA распределяет трафик между несколькими серверами и позволяет избежать единой…
👍17