Кстати, существует совершенно никудышний сиквел WarGames: The Dead Code. Но едва ли его кто-то сейчас вспоминает. А вот WarGames фильм хоть и нелепый, но оставил свой след: например, в 25 сезоне South Park в серии Back To The Cold War было забавно увидеть прямую отсылку к этой картине.
Спасибо за полезную статью. Как неопытный цефовод хочу спросить: зачем делать osd crush reweight если ceph osd out и так вывезет всё с OSD? По крайней мере, я обходился лишь этой командой.
Не знаю как по Windows, но под GNU/Linux yt-dlp вполне себе позволяет качать видео с RUTUBE:
~ $ yt-dlp --version
2025.10.14
~ $ yt-dlp 'https://rutube.ru/video/2d3f32cdb46639d370b686685b182ed6/'
[rutube] Extracting URL: https://rutube.ru/video/2d3f32cdb46639d370b686685b182ed6/
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading video JSON
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading options JSON
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading m3u8 information
[rutube] 2d3f32cdb46639d370b686685b182ed6: Downloading m3u8 information
[info] 2d3f32cdb46639d370b686685b182ed6: Downloading 1 format(s): m3u8-2164-1
[hlsnative] Downloading m3u8 manifest
[hlsnative] Total fragments: 695
[download] Destination: Как мы строим сеть национального видеохостинга RUTUBE ⧸ Олег Аралбаев [2d3f32cdb46639d370b686685b182ed6].mp4
[download] 100% of 742.16MiB in 00:00:30 at 24.52MiB/s
[FixupM3u8] Fixing MPEG-TS in MP4 container of "Как мы строим сеть национального видеохостинга RUTUBE ⧸ Олег Аралбаев [2d3f32cdb46639d370b686685b182ed6].mp4"
Меня вообще удивила эта история, потому что лет десять назад в блоге Рутуба (кстати, где он?) была статья про эволюцию инфры и там значились Cisco ASR, Nexus 9300, 700Гбит/с, а тут внезапно "MikroTik", "статические маршруты, никакого BGP"...
Тем не менее, спасибо за статью - мне было интересно почитать, хотя я ваш доклад на GetNet смотрел уже :)
Да, только в какой-то момент времени браузеры перестанут выпускать обновления для "устаревшей ОС", а ряд популярных сайтов станут назойливо утверждать, что пора обновиться и, спустя время, вовсе перестанут корректно работать.
Но, справедливости ради, считать что окончание поддержки "десятки" даст ощутимую мотивацию сколько-нибудь ощутимой массовой миграции на свободное ПО действительно едва ли приходится.
Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
IP адреса источника можно подделать на стороне отправителя. Если вы баните по IP источника SYN сегмента то у скрипткидди появляется отличная возможность, ну например, сделать ваш сервер недоступным для поисковиков или даже для вас самих.
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.
Спору нет, переходить просто ради новой версии смысла нет. Но вы зачем-то же с 3 на 7 перешли :) И потом, а если там уязвимости найдутся? Кроме того, вот вы обновляете ОС на хостах. В какой-то момент времени старые пакеты могут перестать работать. Что делать?
Учитывая, что Perforce прикрыли развитие open source версии, смысла брать ванильный Puppet в качестве SCM уже нет. Собственно, потому OpenVox и появился. Теперь, кажется, либо его, либо уходить на другую систему.
Eee PC 900 — почти брат, но… У меня есть и 900-я модель — с экраном побольше, чуть мощнее железом, и даже с двумя SSD. Но… он уже не тот. Он и внешне не так цепляет, и состояние у него куда хуже. Царапины, потёртости, в петлях есть люфт. Чувствуется, что пожил. Но главное — уже нет той "искры", которая была в 701. 701 — это как первый альбом культовой группы. Чистый, дерзкий, без коммерческой огранки.
Как бывший счастливый обладатель Eee PC 900, не могу не сказать пару слов в защиту своего "любимца". Семисотую серию пропустил, приобрёл свою "еешку" лишь в 2009 году. Самый главный плюс - большой экран. К тому же, у меня была "linux-версия", так что 4+16ГБ SSD обеспечивали вполне комфортный объём для хранения своих файлов. А 2ГБ RAM позволяло запускать довольно "тяжелые" приложения. В довершение всего, ёмкий аккумулятор на 5800 mAh давал несколько часов автономной работы, что по тем временам было очень хорошим показателем. Правда, тогда же вышел Intel Atom, по сравнению с которым мой Celeron 900 уже выглядел блекло.. Тем не менее, этот нетбучек годы был моим верным спутником в поездках и на работе, с его помощью я сидел в Интернете, читал, смотрел фильмы, даже видеозвонки в Skype проводил! Кроме того, малый вес и полноценный ethernet-адаптер делали его идеальным компьютером для работы "в полевых условиях", так что ноутбучек не раз выручал когда надо было что-то настраивать в серверной или в ЦОДе.
Думаю, тут стоило бы рассказать, почему нужно экранировать %. Сам в своё время был неприятно удивлён, когда исправно работающая команда при запуске вручную, напрочь ломалась при запуске по крону. А причина вот в чём:
A "%" character in the command, unless escaped with a backslash (\), will be changed into newline characters, and all data after the first % will be sent to the command as standard input.
Тот случай, когда не сразу сообразишь, что надо почитать man :)
Кстати, существует совершенно никудышний сиквел WarGames: The Dead Code. Но едва ли его кто-то сейчас вспоминает. А вот WarGames фильм хоть и нелепый, но оставил свой след: например, в 25 сезоне South Park в серии Back To The Cold War было забавно увидеть прямую отсылку к этой картине.
Спасибо за полезную статью. Как неопытный цефовод хочу спросить: зачем делать
osd crush reweightеслиceph osd outи так вывезет всё с OSD? По крайней мере, я обходился лишь этой командой.В FW, конечно, много префиксов, но 32ГБ RAM... Правда столько много нужно? Что за демон BGP используете?
Не знаю как по Windows, но под GNU/Linux
yt-dlpвполне себе позволяет качать видео с RUTUBE:Меня вообще удивила эта история, потому что лет десять назад в блоге Рутуба (кстати, где он?) была статья про эволюцию инфры и там значились Cisco ASR, Nexus 9300, 700Гбит/с, а тут внезапно "MikroTik", "статические маршруты, никакого BGP"...
Тем не менее, спасибо за статью - мне было интересно почитать, хотя я ваш доклад на GetNet смотрел уже :)
Да, только в какой-то момент времени браузеры перестанут выпускать обновления для "устаревшей ОС", а ряд популярных сайтов станут назойливо утверждать, что пора обновиться и, спустя время, вовсе перестанут корректно работать.
Но, справедливости ради, считать что окончание поддержки "десятки" даст ощутимую мотивацию сколько-нибудь ощутимой массовой миграции на свободное ПО действительно едва ли приходится.
На самом деле опускание нулей очень удобно, сам часто пользуюсь чем-то в духе
curl 127.1.Ну, кровати в борделе сами себя не переставят..
Думаю, уместо заметить, что уже была на Хабре неплохая статья статья на тему имитации сетевых проблем. Всем интересующимся темой - рекомендую!
А, значит я просто не понял вас. Да, такой сценарий выглядит вполне возможным.
Спору нет, что работает. Вопрос масштабов. Условные десять лет назад такое было куда проще провернуть. В международных сценариях (случай CF) и через десять лет всегда найдётся вариант влить поддельные src IP. Но я вижу что риск атак, например, с ломаных IoT устройств куда более весом и реален, а в перспективе станет ещё больше. Просто не будет иметь смысла искать оператора, через которого можно лить подозрительный трафик, когда можно устроить настоящий DDoS со "стопитсот" легитимных адресов, которые ещё фиг зафильтруешь.
Нет, это не так. Современные смартфоны по умолчанию при подключении по Wi-FI генерируют случайный MAC-адрес. Кроме того, Госуслуги если и полагаются на MAC-адрес, то в последнюю очередь - можете попробовать сами зайти с авторизованного устройства в другом браузере или режиме "Инконгнито".
Справедливости ради, это не такая уж тривиальная задача, ибо на старте такие пакеты будут порезаны оператором. Конечно, у кого-то uRPF может и не настроен, но в целом, кажется, это очень ограниченная в реализации атака.
Не зная ситуации, не могу ничего утверждать наверняка, но, учитывая защиту банковских приложений, упомянутый в статье SSL-pinning, требования банка подтверждать ощутимые по суммам транзакции, могу предположить что Wi-Fi тут оказался одним из, если вообще имеющим хоть какое-то значение фактором.
Если, например, у людей очень старый смартфон, если там используется резолвер, что прилетел по DHCP вместо DoH/DoT, наконец, если оплата была с помощью номера карты и CVV кода, то всё может быть. Но объективно, смартфон в сети Wi-Fi - это просто хост, который не слушает никаких портов (не должен, во всяком случае). И в былые-то годы основной атакой было именно снифать трафик, подменять шлюз (ARP-poisoning), красть cookie, то сейчас всё это просто не работает. Единственный сколько-то рабочий сценарий, кажется, это упомянутый тут в комментариях вариант с вредоносным резолвером, когда человеку отдаётся фишинговый узел вместо оригинального.
В статье всё верно озвучено. Публичный Wi-Fi плох не этим всем, а более банальной вещью: законодательство требует обязательной аутентификации пользователей, а значит вы попадёте на captive portal где вас спросят телефон и пришлют SMS. Кто и куда запишет ваш номер, додумайте сами.
Спору нет, переходить просто ради новой версии смысла нет. Но вы зачем-то же с 3 на 7 перешли :)
И потом, а если там уязвимости найдутся? Кроме того, вот вы обновляете ОС на хостах. В какой-то момент времени старые пакеты могут перестать работать. Что делать?
Учитывая, что Perforce прикрыли развитие open source версии, смысла брать ванильный Puppet в качестве SCM уже нет. Собственно, потому OpenVox и появился. Теперь, кажется, либо его, либо уходить на другую систему.
Как бывший счастливый обладатель Eee PC 900, не могу не сказать пару слов в защиту своего "любимца". Семисотую серию пропустил, приобрёл свою "еешку" лишь в 2009 году. Самый главный плюс - большой экран. К тому же, у меня была "linux-версия", так что 4+16ГБ SSD обеспечивали вполне комфортный объём для хранения своих файлов. А 2ГБ RAM позволяло запускать довольно "тяжелые" приложения. В довершение всего, ёмкий аккумулятор на 5800 mAh давал несколько часов автономной работы, что по тем временам было очень хорошим показателем. Правда, тогда же вышел Intel Atom, по сравнению с которым мой Celeron 900 уже выглядел блекло.. Тем не менее, этот нетбучек годы был моим верным спутником в поездках и на работе, с его помощью я сидел в Интернете, читал, смотрел фильмы, даже видеозвонки в Skype проводил! Кроме того, малый вес и полноценный ethernet-адаптер делали его идеальным компьютером для работы "в полевых условиях", так что ноутбучек не раз выручал когда надо было что-то настраивать в серверной или в ЦОДе.
Справедливости ради, ребят в OpenWrt уже не устраивает opkg, потому в перспективе хотят съехать на apk.
Думаю, тут стоило бы рассказать, почему нужно экранировать
%. Сам в своё время был неприятно удивлён, когда исправно работающая команда при запуске вручную, напрочь ломалась при запуске по крону. А причина вот в чём:Тот случай, когда не сразу сообразишь, что надо почитать man :)
На практике лучше воспользоваться
logrotate