Сегодня в 18:00 — Selectel Network MeetUp#7. Полезные инструменты сетевого инженера: часть 2
Включайте уведомление на YouTube, чтобы не пропустить начало.
Темы докладов:
Создание собственных сетевых инструментов
Netbox как единственный источник правды
Как перестать настраивать сети руками
После докладов мы разберем рабочие кейсы, ответим на вопросы и пообщаемся.
Заполняйте форму регистрации, чтобы задать вопрос спикерам.
Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS‑сеансов, таких как запрошенное доменное имя.
Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115.
Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS‑трафика. Firefox не будет использовать ECH без включения DNS over HTTPS в настройках. Проверить поддержку ECH в браузере можно на данной странице.
Одним из факторов активации по умолчанию поддержки ECH в Firefox стало включение несколько дней назад компанией Cloudflare поддержки ECH в своей сети доставки контента. С практической стороны, так как данные о запрошенных хостах при применении ECH скрыты от анализа, для фильтрации и блокировки неугодных сайтов, использующих CDN Cloudflare, теперь потребуется блокировка всей сети Cloudflare, блокировка всех запросов с ECH или организация перехвата HTTPS при помощи подставных корневых сертификатов на системе пользователя.
Источник: OpenNET.
Секта водохлёбов добралась до искусственного интеллекта. Любители посчитать расход аш-два-о до этого с удовольствием приводили статистику, сколько ценного вещества нужно для выращивания, к примеру, говядины. Получается страшное: на килограмм стейка нужно более 15 тонн влаги — куда больше, чем для выращивания бобов сои или пшеницы. Предполагается, что затем такими числами нужно стыдить наглых любителей вкусить чужой плоти.
На деле речь идёт про осадки. Дождь и снег всё равно выпадут на лужайку, будет на ней пастись корова или нет. А вот выпас скота качество почвы лишь улучшит. (Про негативный эффект от засева огромных полей монокультурой говорить не принято вовсе.) Также внутри бурёнки не встроен портал в параллельное измерение, куда вода исчезает — всё потреблённое она рано или поздно отдаст обратно.
Некий микроблогер приводит график, согласно которому на обучение GPT-4 ушло в разы больше воды, чем потребляет в неделю аквапарк. Вывод простой: эдак скоро пить нечего будет.
Впрочем, к твиту приделали успокоительную пометку сообщества. Огромная корпорация Microsoft, которая хостит вычислительные мощности OpenAI, тратит на охлаждение своих многочисленных вычислительных центров лишь одну стотысячную процента потребления пресной воды США.
С само́й статистикой мало кто спорит: на обучение предыдущей версии GPT, GPT-3, ушло 700 тонн воды.
Как обычно, речь идёт про расход. Вода при этом уходит в почву или атмосферу, но не исчезает с планеты. Очевидно, что из цикла обмена воду не изымают.
Люблю автоматизацию. И рассказывать о ней тоже. Сегодня об авиационной отрасли:
Любая система автоматизации и авиакомпании, и локального аэропорта, состоит из большого количества подсистем — для каждой авиакомпании она может отличаться, так же есть и отдельные системы отслеживания спецтранспорта и системы автоматизации кейтеринга для работы с бортовым питанием. Ключевой частью является DCS (Departure Control System — система контроля вылетов) и система бронирования билетов.
На сегодняшний день у российских авиакомпаний есть выбор из двух систем бронирования, с которыми они могут автоматизировать свои процессы — это «Леонардо» (разработчик – АО «Сирена Трэвел» в партнерстве с госкорпорацией «Ростех») и «ТАИС» (АО «ОРС»). К примеру, с «Леонардо» работают «Аэрофлот» и «Победа», а на «ТАИС» работают «S7», «Ural Airlines» и прочие.
От пассажиров чаще всего прилетает негатив в сторону системы Leonardo в силу популярности, но бывают и внештатные ситуации, наподобие того как на прошлой неделе "Ростех" сообщил о DDoS-атаке на сервера системы.
Но тем не менее отечественное IT не стоит на месте, и вот буквально пару дней назад в составе АС «КОБРА» (используется на текущий момент в 26 аэропортах РФ, разработчик РИВЦ «Пулково») вышла в свет «Платформа общего доступа», которая позволяет регистрировать пассажиров любой авиакомпании на одной стойке в аэропорту (проще говоря «великий адаптер для API разных компаний»). В общем, понемногу всё универсализируется и импортозамещается.
Сегодня в 19:00 — Selectel Python Meetup. Три уровня погружения: процессы под капотом, архитектура кода, развитие языка
Включайте уведомление на YouTube, чтобы не пропустить начало.
Темы докладов
Мультипроцессность и сбор метрик в Python: как построить мониторинг без сюрпризов
Заносим микросервисы и Kubernetes в облако
Такое ли светлое будущее у Python?
Заполняйте форму регистрации, чтобы задать вопрос спикерам.
В подписке «МегаКино» от «МегаФона» появились ещё два онлайн-кинотеатра: Wink и more.tv. Теперь в одном предложении собраны сразу шесть видеосервисов, вместе занимающих более половины российского рынка.
Сервисы добавили к уже доступным в «МегаКино» «Иви», Okko, START и PREMIER. Расширение предлагаемого контента не повлияло на цену подписки. Не поменялся и принцип её работы: зрители могут в моменте пользоваться одним кинотеатром из шести, а свой выбор при желании изменить.
Теперь «МегаКино» охватывает более половины кино- и теле- продукции, доступной онлайн в России. Согласно оценке J’son & Partners за 2022 год, суммарно шесть онлайн-кинотеатров из «МегаКино» занимают около 54% российского рынка по объёму выручки и свыше 40% — по количеству подписчиков.
В эксклюзивной линейке Wink Originals больше 20 проектов, в том числе сериалы «Фишер», «Балет», «Ухожу красиво», «Мёрзлая земля», «Актрисы». Под брендом more originals вышли сериалы «Библиотекарь», «Трудные подростки», «Happy End», «Чики» и другие.
Опубликован релиз альтернативной сборки дистрибутива Linux Mint — Linux Mint Debian Edition 6, выполненной на основе пакетной базы Debian (классический Linux Mint базируется на пакетной базе Ubuntu). Дистрибутив доступен в виде установочных iso-образов с десктоп-окружением Cinnamon 5.8.
LMDE ориентирован на технически грамотных пользователей и предоставляет более новые версии пакетов. Целью развития LMDE является проверка того, что Linux Mint сможет продолжить существовать в том же виде даже в случае прекращения разработки Ubuntu. Кроме того, LMDE помогает проверять развиваемые проектом приложения на предмет их полноценной работы в системах, отличных от Ubuntu.
В поставку LMDE включено большинство улучшений классического релиза Linux Mint 21.2, а также оригинальные разработки проекта (менеджер приложений, система установки обновлений, конфигураторы, меню, интерфейс, текстовый редактор Xed, менеджер фотографий Pix, просмотрщик документов Xreader, просмотрщик изображений Xviewer). Дистрибутив полностью совместим с Debian GNU/Linux 12, но не совместим на уровне пакетов с Ubuntu и классическими релизами Linux Mint. Системное окружение соответствует составу Debian GNU/Linux 12 (ядро Linux 6.1, systemd 252, GCC 12.2, Mesa 22.3.6).
Федеральная комиссия по связи США объявила о планах восстановить правила сетевого нейтралитета, чтобы гарантировать справедливый доступ к Интернету и информации. Эти правила отменили в период президентства Дональда Трампа в 2018 году.
Правила, принятые в 2015 году, классифицировали услуги широкополосного доступа в соответствии с правилами предоставления коммунальных услуг и запрещали интернет-провайдерам блокировать веб-сайты, ограничивать трафик или взимать дополнительную плату за более быстрый доступ к определённым сервисам.
По словам председателя FCC Джессики Розенворсель, комиссия проведёт первое голосование по восстановлению этих правил во время заседания 19 октября.
«Широкополосная связь является важной инфраструктурой для современной жизни. Доступ к Интернету теперь — это доступ ко всему», — сказала Розенворсель.
За годы после отмены этих правил сетевой нейтралитет в значительной степени был подорван: отдельные штаты, такие как Калифорния, принимали свои правила в отсутствие федерального закона.
Однако восстановление правил займёт некоторое время. Процесс могут приостановить из-за судебных исков, если кто-либо из провайдеров широкополосного доступа захочет оспорить это решение. Verizon, AT&T и Comcast ранее выступали против правил сетевого нейтралитета.
Компания «Труконф» и группа компаний «Астра» заявили о подтверждении корректной работы новой версии ВКС‑сервера TrueConf MCU с операционной системой Astra Linux. Комплексное тестирование проводилось в августе 2023 года в рамках партнёрской программы Ready for Astra. Об этом информационной службе Хабра рассказали в пресс‑службе ГК «Астра».
TrueConf MCU — российский программный ВКС‑сервер, предназначенный для объединения аппаратных SIP/H.323-терминалов, масштабирования существующей ВКС‑сети и замены иностранных MCU (устройств, которые обеспечивают многосторонние соединения для видеосвязи). С помощью этого сервера можно объединить до 150 пользователей в конференции. В новой версии TrueConf MCU 2.0 был полностью переработан интерфейс панели управления, расширены возможности планирования конференций, добавлена многоканальная запись, новый раздел с подробной историей конференций и другие функции.
В тестировании участвовали версия ВКС‑сервера TrueConf MCU 2.0 и ОС Astra Linux Special Edition 1.7. По словам тестировщиков, технологический стек подходит для организации защищённой видеосвязи в госсекторе и в частных компаниях, использующих парки аппаратных ВКС‑устройств с протоколами SIP/H.323, включая сторонних производителей.
Hilbert Team и Yandex Cloud проведут бесплатный вебинар по автоматизации создания окружений для R&D-команд
12 октября в 12:00 мск приглашаем CTO и DevOps-инженеров на вебинар «Автоматизация создания окружений для R&D-команд».
Чтобы сделать процесс разработки цифровых продуктов максимально быстрым и эффективным, важно избавить своих разработчиков от рутинной настройки окружений и помочь им сосредоточиться на главном – написании кода.
На вебинаре мы расскажем расскажем, как облегчить жизнь вашим разработчикам и внедрить подходы по автоматизации создания R&D-окружений, а также покажем, как вы можете организовать это на практике в своей организации.
Программа
1. Создание динамических окружений в Kubernetes (пример реализации; плюсы и минусы),
2. Создание статических окружений с помощью Terraform и Terragrunt (пример реализации; плюсы и минусы),
3. Создание окружений с помощью CrossPlane и ArgoCD (пример реализации; плюсы и минусы; планы Yandex Cloud на развитие CrossPlane),
4. Как выбрать подходящий сценарий в зависимости от требований бизнеса.
Спикеры
Михаил Кажемский – ведущий DevOps-инженер Hilbert Team.
Антон Брехов – партнерский архитектор Yandex Cloud.
Вебинар бесплатный, для участия нужно зарегистрироваться по ссылке: https://hilbertteam.timepad.ru/event/2563423/
Представлен выпуск фреймворка GNUnet 0.20, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети.
GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT), есть средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации reclaimID, использующий GNS (GNU Name System) и шифрование на основе атрибутов (Attribute-Based Encryption).
Система отличается низким потреблением ресурсов и использованием многопроцессной архитектуры для обеспечения изоляции между компонентами. Предоставляются гибкие средства для ведения логов и накопления статистики. Для разработки конечных приложений GNUnet предоставляет API для языка C и биндинги для других языков программирования. Для упрощения разработки вместо потоков предлагается использовать циклы обработки событий (event loop) и процессы.
Источник: OpenNET.
Компания Selectel анонсировала ML‑платформу. Платформа представляет собой облачное решение с преднастроенными аппаратными и программными компонентами, предназначенное для обучения и развёртывания ML‑моделей. Сервис разворачивается индивидуально для каждого клиента и может включать в себя востребованные в профессиональной среде Open Source‑инструменты ClearML или Kubeflow, позволяющие организовать полный цикл обучения и тестирования ML‑моделей. Анонс платформы был на конференции Selectel Tech Day 2023.
Кроме ML‑платформ, Selectel анонсировала запуск управляемого сервиса по развёртыванию кластеров Kubernetes на базе выделенных серверов. По словам разработчиков, использование сервиса на выделенных серверах позволит пользователям улучшить производительность своих микросервисных приложений.
Кроме того, пользователи смогут использовать собственные выделенные серверы для развёртывания воркер‑нод Kubernetes, а мастер‑ноды будут оставаться в облаке. Также Selectel заявила, что для реализации особо высоконагруженных вычислений, например, ML‑проектов возможна аренда кластеров Kubernetes на базе выделенных серверов с GPU.
Компания «Киберпротект» совместно с Yandex Cloud представила шлюз резервного копирования в хранилище Yandex Object Storage. По словам разработчиков, шлюз резервного копирования «Кибер Бэкап» помогает развернуть в Yandex Cloud инфраструктуру и использовать объектное облачное хранилище S3 как место назначения для резервных копий.
Создатели заявили, что «Кибер Бэкап» реализует правило «3–2–1» — общепризнанный стандарт резервного копирования, по которому создаются три копии данных на двух разных типах носителей и ещё одну копию хранят удалённо, на случай локального происшествия.
Приложение «Шлюз резервных копий СРК „Кибер Бэкап“» доступно в магазине Yandex Cloud Apps. В процессе автоматического развёртывания создаются все облачные ресурсы: виртуальные машины, виртуальные диски, корзина для хранения резервных копий (S3 bucket), сетевой балансировщик нагрузки, сервисные учётные записи и другие, настраивается балансировка запросов к шлюзу резервного копирования. После установки приложения шлюз резервного копирования готов к работе и резервные копии можно сохранять в объектное хранилище, минуя панель управления шлюзом.
Операционные системы семейства Astra Linux доступны в облаке Cloud.ru. Об этом сообщил облачный провайдер на технологической конференции SmartDev. Информационная служба присутствовала на этой конференции. Появление ОС Astra Linux в облаке Cloud.ru было в рамках партнёрского соглашения с группой компаний (ГК) «Астра».
Для пользователей облака Cloud.ru будет доступно две версии ОС Astra Linux. Первая версия — «Орёл», несертифицированная, для общего пользования. Вторая — «Воронеж», сертифицированная ОС с уровнем защиты УЗ-1.
Яндекс почта для организации сказала, что "Скоро сервисы организации перейдут в режим просмотра" и предложила три тарифа на выбор БАЗОВЫЙ ОПТИМАЛЬНЫЙ РАСШИРЕННЫЙ
а вы знали, что менеджеру надо сказать: "Я ЗНАЮ ПРО ЗАКРЫТЫЙ ТАРИФ "СТАРТОВЫЙ", для тех кто еще никакой тариф не подключал, там будет только почта, но будет в 2 раза дешевле Базового?
Вот такие они ....
В сетевой подсистеме ядра Linux выявлена уязвимость (CVE-2023-42752), позволяющая через манипуляции с сетевыми сокетами в пространстве пользователя перезаписать содержимое памяти ядра, что потенциально может использоваться для организации выполнения непривилегированным пользователем своего кода на уровне ядра. Уязвимость является локальной и не может быть эксплуатирована удалённо по сети. Включение механизма защиты SMAP (Supervisor Mode Access Prevention) в ядре блокирует проблему.
Уязвимость вызвана целочисленным переполнением в функции ядра Linux "__alloc_skb", обеспечивающей выделение памяти для структуры sk_buff (socket buffer), которая используется для хранения сетевых пакетов. Переполнение возникает из-за отсутствия должной проверки получаемых от пользователя параметров, применяемых для вычисления размера буфера. Для совершения атаки непривилегированным пользователем требуется доступ к созданию пространств имён идентификаторов пользователя (user namespace), которые могут предоставляться, например, в изолированных контейнерах.
Уязвимость вызвана изменением, внесённым в ядро 6.2, но данное изменение было бэкпортировано во все LTS-ветки, поэтому уязвимость проявляется и в более ранних выпусках поддерживаемых стабильных веток ядра. Исправления, блокирующие уязвимость, приняты в состав стабильных веток ядра 5 сентября и вошли в состав выпусков 6.1.53, 6.5.3, 6.4.16, 5.15.132 и 5.10.195.
Источник: OpenNET.
Базовая настройка шифрования в Cisco ASA
Первым делом после установки лицензии надо сгенерировать сертификаты и настроить шифрование для ASDM, эти же настройки дадут A+/A- в тесте от SSL Lab:
crypto key generate rsa modulus 2048
crypto key generate ecdsa elliptic-curve 256
ssl server-version tlsv1.2
ssl client-version tlsv1.2
ssl dh-group group14
ssl ecdh-group group19
ssl cipher default custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"
ssl cipher tlsv1.2 custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"Настройки соответствуют рекомендациям Mozilla с добавлением ECDHE-RSA-AES128-SHA256 для максимальной совместимости. На ASA 5506/5508/5516 изменить server-version можно только через CLI из-за отсутствия DTLS 1.2 в этих платформах.
И бонусом SSH:
ssh version 2
ssh key-exchange group dh-group14-sha256
ssh cipher integrity custom hmac-sha2-256:hmac-sha1
ssh cipher encryption custom aes256-ctr:aes192-ctr:aes128-ctrAES-GCM, ChaCha20-Poly1305 и Ed25519 появились только в 9.16, а настройки выше достаточно безопасны и работают в пока ещё актуальной версии 9.12 для ASA 5500-X.
17 сентября 2023 года исполнилось 32 года с момента формирования первого выпуска ядра Linux. Ядро Linux 0.01 имело размер 116 Кб в сжатом виде (62 Кб после переупаковки из tar.Z в tar.gz), включало 88 файлов и содержало 10239 строк исходного кода. По мнению автора проекта Линуса Торвальдса, именно момент публикации ядра 0.01, а не день анонсирования рабочего прототипа, является настоящим днём рождения Linux.
Источник: OpenNET.
Что я, как разработчик, должен знать о Kubernetes: https://full-stack.blog/kubernetes_for_software_developer.html
«Кинопоиск» нарастил свою долю на рынке онлайн-кинотеатров, заработав на нём 33,9% всей выручки, следует из данных TelecomDaily. В прошлом году его доля была 23,4%, ближайший конкурент — «Иви» — заработал 22,4%. В этом году доля «Иви» упала до 19,3%.
