Администрирование

Post-Quantum Cryptography: тихая революция в инфраструктуре, которую нельзя игнорировать

Пока большинство обсуждает ИИ, в мире криптографии происходит настоящая революция. NIST утвердил первые стандарты постквантовой криптографии, и это потребует фундаментальных изменений в ИТ-инфраструктуре уже в ближайшие 2–3 года.

Проблема:

Современные алгоритмы (RSA, ECC) могут быть взломаны квантовыми компьютерами в обозримом будущем. Миграция на PQC — не вопрос «если», а вопрос «когда».

Что меняется:

• Размер ключей увеличивается в 5-10 раз

• Процессоры испытывают нагрузку на 30-50% выше

• TLS-хендшейки становятся значительно объемнее

Наши тесты с OpenSSH 9.8:

bash

# Стандартный ключ Ed25519: 68 байт
# PQC-ключ Dilithium3: 1842 байта
# Рост трафика при подключении: ~2700%

Практические рекомендации:

1. Аудит инфраструктуры:

python

# Скрипт для поиска уязвимых сервисов
import ssl
for protocol in ['TLSv1.2', 'TLSv1.3']:
    ctx = ssl.create_default_context()
    ctx.set_ciphers(protocol)

2. План миграции:

• 2025: Тестирование гибридных схем (PQC + традиционные алгоритмы)

• 2026: Перевод внутренних сервисов

• 2027: Полный переход для внешних endpoint

3. Аппаратные требования:

• CPU с поддержкой AVX2/AVX-512

• Увеличение буферов сетевых карт

• +30% к оперативной памяти для сертификатов

Метрики производительности после перехода:

• 📉 Throughput VPN: снижение на 15%

• 📈 Потребление CPU: рост на 40%

• ⏱️ Время TLS-хендшейка: +80 мс

Вывод:

Откладывание перехода на PQC аналогично игнорированию проблемы Y2K в 90-х. Уже сегодня нужно начинать тестирование и планирование, чтобы избежать хаотичной миграции под давлением регуляторов.

Уже проводили тесты с постквантовыми алгоритмами? Делитесь результатами в комментариях — соберем статистику по разным конфигурациям.

Привет, потенциал kui еще немного увеличился! Случилось то что случилось, в продской cronjoпеb'е что-то застряло. Добавил в kui ручной запуск кронжоб и kui'ем протолкнул застрявшее в кронжобе ...

Творите, выдумывайте, пробуйте!)

Когда TLS 1.3 ломает мониторинг: тонкая настройка под новые протоколы

С переходом на TLS 1.3 многие системы мониторинга внезапно "ослепли". Старые методы перехвата трафика перестали работать, а бизнес требует полной видимости. Разбираем, как адаптировать мониторинг под современные стандарты безопасности.

Проблема:

• eSNI и Encrypted Client Hello шифруют метаданные подключения

• PFS (Perfect Forward Secrecy) делает историческую расшифровку трафика невозможной

• 70% инструментов мониторинга показывают "encrypted traffic" вместо полезных метрик

Решение через eBPF:

bash

# Вместо SSL-инспекции - анализ системных вызовов
sudo bpftrace -e 'tracepoint:syscalls:sys_enter_connect {
    printf("%s → %s:%d\n", comm, args->uservaddr, args->port);
}'

Наша реализация:

1. Мониторинг на уровне ядра - eBPF-программы для анализа сокетов

2. Анализ временных метрик - latency между SYN и ACK без расшифровки содержимого

3. Косвенные метрики - количество новых соединений, размер передаваемых данных

Конфигурация для Prometheus:

yaml

- job_name: 'ebpf_metrics'
  static_configs:
    - targets: ['node-exporter:9100']
  metrics_path: /ebpf
  params:
    module: [tcp_tracer]

Результаты:

• Обнаружили 40% неоптимальных TLS-хендшейков

• Снизили время диагностики проблем с подключением с 25 до 3 минут

• Соответствуем требованиям GDPR и PCI DSS (без декриптации трафика)

Вывод:
Современный мониторинг требует смещения фокуса с инспекции содержимого на анализ метаданных и поведенческих паттернов. Безопасность и наблюдательность больше не противоречат друг другу.

#eBPF #TLS1.3 #мониторинг #кибербезопасность #observability

Какие подходы к мониторингу зашифрованного трафика используете вы? 

Grafana: когда красивые графики становятся рабочим инструментом

Все мы видели скриншоты дашбордов Grafana с красочными графиками. Но когда красивая визуализация становится реальным инструментом мониторинга, а не просто картинкой для отчёта?

Проблема типового подхода:

• Собираем все метрики подряд — «на всякий случай»

• Создаём дашборды с 20+ графиками, где невозможно найти нужную информацию

• Система есть, а пользы нет

Как мы построили эффективный мониторинг:

1. Инфраструктура сбора данных

text

Prometheus → Grafana (визуализация)
Loki → Grafana (логи)
Alertmanager → Grafana (алерты)

Один стек — единая картина происходящего.

2. Три уровня дашбордов:

• Оперативный (NOC): 3-5 ключевых метрик — доступность, ошибки, нагрузка

• Тактический (инженеры): детализация по сервисам + связанные логи

• Стратегический (руководство): SLA, бизнес-метрики, тренды

3. Пример полезного дашборда для веб-сервиса:

sql

- HTTP-коды ответов (1xx, 2xx, 3xx, 4xx, 5xx) 
- Latency: p50, p95, p99
- Rate of errors (> 5%)
- SLO: доступность за последний час

4. Интеграция логов и трейсов:
Теперь не просто видим, что latency вырос, а сразу находим причину в логах конкретного микросервиса.

Реальные результаты:

• Время диагностики инцидентов сократилось с 40 до 8 минут

• Количество ложных алертов уменьшили в 5 раз

• Единая система вместо 3 разных инструментов мониторинга

Ошибки, которых стоит избегать:

1. Не создавайте дашборды «для галочки»

2. Настройте meaningful алерты, а не «disk usage > 90%»

3. Используйте единый стек данных (метрики + логи + трейсы)

Вывод:
Grafana — это не про красивые графики, а про единое информационное пространство для принятия решений. Когда каждый инженер видит одну и ту же картину — проблемы решаются в разы быстрее.

А какие подходы к мониторингу используете вы? Делитесь кейсами в комментариях!

#grafana #мониторинг #prometheus #loki #devops #sre

Когда мониторинг слепнет: почему 90% алертов — это ложные срабатывания и как с этим жить

Системы мониторинга должны помогать, но вместо этого часто создают информационный шум. Когда на каждый чих приходит алерт, админы просто перестают на них реагировать. И тут случается реальная проблема.

Проблема ложных срабатываний

• 📊 15% нагрузки на Zabbix/Prometheus — сбор и обработка бесполезных метрик

• ⏰ До 3 часов в день senior-инженеры тратят на фильтрацию алертов

• 🔕 68% инженеров признаются, что пропускали важные уведомления из-за "алертной усталости"

Почему это происходит

1. Мониторим всё подряд — собираем метрики "на всякий случай"

2. Неправильные пороги — одинаковые thresholds для dev и prod

3. Отсутствие бизнес-логики — система не понимает контекст сбоя

Решение: умный мониторинг

# Вместо этого:
alert: CPU > 90%

# Мониторим так:
alert: 
  condition: CPU > 90% 
  and LoadAverage > 5
  and duration > 5m
  and business_impact = true

Что внедрили у себя

1. Сезонные пороги — разные thresholds в рабочее/нерабочее время

2. Корреляцию событий — не алертим о высокой нагрузке, если это время бэкапов

3. Бизнес-метрики — мониторим не "доступность сервера", а "доступность оплаты"

Результаты через 3 месяца

• ✅ Снизили количество алертов в 7 раз

• ✅ 98% срабатываний требуют реакции

• ✅ Время реакции на реальные инциденты сократилось с 25 до 8 минут

Вывод
Мониторинг должен говорить, когда бизнес теряет деньги, а не когда у сервера чихнул процессор. Лучше 10 точных алертов, чем 1000 мусорных.

А как у вас с алертами? Тоже тонете в ложных срабатываниях?

#мониторинг #zabbix #prometheus #алерты #devops #sysadmin

P.S. В комментах жду ваши кейсы борьбы с алертной усталостью — соберем лучшие практики!

Небольшой анонс: издательство БХВ теперь ведет собственный корпоративный блог на Хабре

Рады вам сообщить, что теперь вы сможете чаще читать рецензии на книги по ИТ от БХВ, Alist, Фолиант и наверняка что-то выберите себе для роста личных хард-скилов и компетенций.

Мы, в свою очередь — контент-команда SSP SOFT — уже около двух лет публикуем в нашем блоге рецензии на книги БХВ, но делаем это выборочно: только те издания, которые пересекаются с нашей основной деятельностью — заказным программированием, системным ПО, ИТ-аутсорсингом, внутренней архитектурой ПО и смежными темами.

Хотим поддержать почин у издательства БХВ и начать публиковать на Хабре посты-анонсы вышедших рецензий на книги в блоге БХВ, дополняя таким образом обзорную перспективу той литературы, которую на наш взгляд полезно или интересно прочесть практикующему разработчику или архитектору.

И вот первый такой анонс.

📘 «Чистовики патриарха. О трёх последних книгах Олега Цилюрика»

В своей статье БХВ публикует обзор трех недавних работ известного Линукс-гуру и автора технической литературы Олега Цилюрика.

• Первая рекомендуемая книгиа — «Расширения ядра Linux. Драйверы и модули», книга объёмом ~688 страниц по версии ядра 5.15, детально раскрывающая внутренние API ядра, взаимодействие с периферией, USB, PCI и многое другое (ссылку на книгу).

• Также БХВ рассказывает о книге «Linux и Go» — экспериментальном проекте объединения низкоуровневого программирования и Go, где автор исследует переход некоторых подсистем ядра и функций на Go, и подробно рассматривает вопросы производительности, взаимодействия C и Go, многопроцессорности.

• Третья книга — а это перевод «Изучаем eBPF» — показывает, что авторские компетенции охватывали не только ядро, но и современные технологии мониторинга, безопасности и расширения функций ядра.

Статья в блоге БХВ лампово освещает рабочие моменты сотрудничества издательства и автора: как проходила верстка, как уточнялись детали кода, как велись обсуждения правок. Материал про творчество Олега Цилюрика важен для профессионального сообщества — чтобы вызвать готовность «заглянуть за обложку».

Представлен репозиторий Free Certifications с бесплатными сертификациями по IT-технологиям от Google, Oracle Microsoft и других компаний. Все сертификаты строго разделены по категориям: фронтенд, бэкенд, SQL, Data Science, информбезопасность, аналитика и ещё множество тем.

2 октября встречаемся на Infra Meetup от Wildberries & Russ!

Где: Москва + онлайн-трансляция
Когда: 2 октября 19:00, сбор гостей начинается в 18:00

Зарегистрироваться!

Приглашаем на Infra Meetup от Wildberries & Russ! Расскажем про внутреннее файловое хранилище собственной разработки, поговорим о методах автоматизации репозиториев в Nexus, разберём существующие сервисы и процедуры их сопровождения, обеспечивающие бесперебойную работу. И обязательно затронем важнейшую тему культуры инженерного взаимодействия в команде.

В программе:

Файловое хранилище Wildberries: бескомпромиссный HighLoad | Иван Волков, CTO CDN

• Как устроено одно из важнейших файловых хранилищ Wildberries

• 1,2+ млн RPS на выдачу фото и видео — и это не предел

• Код Оккама: органический подход к разработке и процессам

Путь автоматизации репозиториев в Nexus | Владислав Раев, DevOps & DevTools Engineer

• Автоматизация без стандартизации, или путь в никуда

• Что работает для 10, может сломаться на 100

• Меньше состояния — меньше проблем

• Явное лучше неявного

У вас завелся сервис: рекомендации лучших сервисоводов (наверное) | Александр Стовбунский, Tools Team TechLead

• «Пап, можно мы его оставим?» — почему приносят одни, а чиним мы

• «А выгуливать кто будет?» — что может требовать тот, у кого нет права отказаться

• «Он большим не вырастет!» — как считать трудозатраты и сроки

• Вредные советы: как гарантировано всё испортить

Для участия в офлайне она обязательна. После докладов — продуктивный нетворкинг и афтерпати.

Зарегистрироваться!

В SpaceWeb обновили юзабилити в S3

В SpaceWeb выкатили новую порцию полезных фич и обновлений в S3! Теперь к сервису можно подключаться не только через утилиту, но и все нужные настройки получится установить напрямую и через панель управления — сделали всё для удобства пользователя.

Основные апдейты:

• открыли доступ к самостоятельному управлению файлами — их можно и загружать, и удалять;

• подключили чекбоксы — документы удобно просматриваются компактным списком и по нему можно проводить поиск, что особенно важно при огромном количестве данных в S3;

• из хранилища теперь можно получить прямой адрес загруженного файла — это поможет в дальнейшем управлении и работе с ним.

Протестировать обновленный S3 можно уже сейчас в панели управления SpaceWeb.

Квиз: основы работы с базами данных

Если вы изучаете базы данных или давно не работали с ними и хотите проверить знания, приглашаем пройти наш новый квиз. Ответьте на несколько теоретических вопросов и попробуйте расшифровать SQL-запросы — в конце получите промокод на 1000 бонусов в панели Selectel.

Пройти квиз

Не забудьте поделиться результатами в комментариях!

Так как мои статьи "на поныть" как выстраивать организационные процессы со своей маленькой колокольни без пап, мам и смс безбожно минусят (хотя считаю, что несправедливо! мне мой подбор слов и их порядок упаковки в предложения очень нравится) я продолжу потихонечку записывать (в основном для себя правда, потому что я немножко рыбка) мои изыскания с администрированием различных операционных систем и поиск решений тупых проблем на уровне "почему оно все не работает".

Кроме удовольствия от переноса многочисленных мыслей в текст, это безобразие меня еще и мотивирует этим заниматься и структурирует тот бардак, который живет у меня в голове. Потому что хочется спасать человечество, искать средство от смерти или думать о вечном, а вот решать проблему, почему очередной раз не выполняется элементарный apt-get update на машинке совсем не хочется. Сразу появляются мыслишки, что я трачу свое время на что-то бессмысленное и глупое и сажусь играть в "собери три предмета в ряд", потому что там в отличие от элементарных проблем с линуксом я не чувствую себя тупой, а при окончании ходов тебе всегда услужливо предлагают посмотреть рекламу за несколько дополнительных, чтобы ты снова чувствовала себя победителем.

По сложившейся традиции моих немногочисленных постов

Мое маленькое ДАНО ХОЧУ:

Установить постгрю на дебианоподобную ОС, чтобы вспомнить, куда она пишет логи и в каком точно файле это место настраивается.

И да, я знаю, что вполне можно нарыть это в тырнетике или спросить у чата жипити, но я опрометчиво решила, что установить ее и посмотреть ручками будет проще, а когда это не получилось командой apt-get install postgres мое самолюбие было уже не остановить и срочно надо было доказать дурацкой базе данных, что я умнее (ну как иначе, то?). Вообще не то, чтобы я никогда не работала с постгрей, в моей голове достаточно смутные воспоминания, что скорее всего она пишет лог в /var/log/, а настройки у нее вообще живут только в двух файлах. Но точных имен я не помню, поэтому имеем, что имеем.

А вот теперь ДАНО:

У меня есть в запасе чистый диски на VirtualBox'e винды и дебиана, вот клон последней и было решено использовать для изысканий.

Шаг 1

Пробуем запустить apt-get install postgres, потому что что может быть проще... учитывая, что в ТЗ даже версия мне безразлична... просто вспомнить название файликов...

На что умный дебиан нам напоминает про безопасность и права (женщины боролись за права с 18 века!!!! а мне до сих пор не хватает =( )

Поэтому заходим под рутом, выполняем apt-get update - радуемся, когда тот успешно выполняется и идем искать нужный нам пакет apt search postgres.

В получившейся портянке ищем саму постгрю, потому что apt-search выдает результаты со словом postgres не только в названии пакета, но и в его описании. Лично мой взор привлекает пакет postgresql-all, где в описании обещают, что это metapackage depending on all PostgreSQL server packages. Его и пробуем поставить.

На удивление пакет (а точнее пакеты) ставится без ошибок, и в цмдушечке появляется заветный psql, который правда говорит, что подключаться ни к чему он не хочет, сокета на 5432 у него нет, а роль root вообще не существует.

Но по крайней мере у меня есть ответ на мой первый вопрос. Основные файлы конфигурации живут в /etc/postgres/ее версия/main/ и зовутся pg_hba.conf и posgresql.conf, где первый отвечает за разрешения подключения к этой самой бдушечки, а второй как раз хранит в себе все переменные ее настройки - в том числе и куда хранить лог "log_directory" которая по умолчанию закомментирована.

Удивительно и невероятное, если запустить apt-get update из под пользователя, у которого нет прав, под рутом этот самый apt-get update выдает обшибку.

Удивительно и невероятновое 2: Почему-то мой быстрый путь тяп ляп и готово по добавлению извера в /etc/sudoers не помог дать ему необходимых прав, а дебиан под ним пакеты не захотел устанавливать.

Но об этом в лучших традициях Скарлетт О'Хара я подумаю завтра, потому что количество букв в посте сильно ограничены.

В Рег.облаке запустили новую зону доступности публичного облака в Москве

Сегодня подключили в московском регионе новую облачную локацию Рег.облака. Теперь в столице в публичном облаке доступна и вторая площадка на базе дата-центра «Медведково-2». 

Новая площадка расширяет пул ресурсов и делает московский контур отказоустойчивым: теперь сценарии disaster recovery можно строить внутри региона, без компромиссов по производительности и связности.

Внутренняя «начинка» в новой локации:

• до 25 000 vCPU и 30 ТБ RAM;

• более 1 ПБ хранилища;

• серверы разных классов, включая высокочастотные AMD EPYC и новую линейку «Стандартные+» на Intel Xeon с NVMe SSD;

• интерконнект: 40 Гбит/с к серверам, 100 Гбит/с между стойками;

• отказоустойчивость по схеме N+1.

Что нового в архитектуре:

• API работает без пауз при переключениях: BGP+ECMP вместо keepalived;

• служебный и клиентский трафики изолированы на трех уровнях («матрешка» туннелей);

• расширенный мониторинг дает прозрачность и быстрый разбор инцидентов.

Протестировать и заказать облачные серверы в новой локации уже можно сейчас на сайте Рег.облака.

Кажется я опять удалил бэкап из бакета... А нет, у меня ж стоит блокировка 😮‍💨

Добавили в S3 новую функцию — блокировку объектов (Object Lock). Теперь можно зафиксировать, или по-айтишному — «залочить» версии объектов так, что их нельзя удалить или изменить в течение заданного времени. Даже админу бакета.

👌 Идеально для архивов, резервных копий и важных логов.

Есть несколько режимов:

GOVERNANCE — «админ может удалять, а другие нет»

Объекты защищены от случайных действий, но пользователи с особыми правами могут их удалять в любой момент

COMPLIANCE — «тут и админ бессилен»

Объекты остаются нетронутыми до конца срока блокировки, даже если у вас админские права

Без глобальной защиты — «по дефолту»

Блокировка версий объектов не будет устанавливаться в бакете

⚙️ Подробности в доке →

Ну все, осталось только включить блокировку в настройках →

Live-демо графического установщика Deckhouse Kubernetes Platform

Мы создали графический установщик, который превращает развёртывание Deckhouse Kubernetes Platform в несколько кликов и упрощает начало использования платформы через веб-интерфейс.

На вебинаре 25 сентября технический директор веб-интерфейсов Deckhouse покажет live-демо Installer: 

• Развернёт полноценный кластер Deckhouse Kubernetes Platform за 10 минут. 

• Включит виртуализацию ещё за 10 — и запустит Doom на виртуальной машине.

• Расскажет, какие проблемы установки закрывает Installer. 

• Покажет планы развития графического установщика и где его взять.

Заглядывайте на трансляцию 25 сентября в 12:00. Для участия нужно зарегистрироваться.

https://yandex.ru/ips

37.140.128.0/1 - Яндекс, вы конечно крупная компания, но не слишком ли амбициозно говорить, что половина интернета - это ваша подсеть?

Мне сейчас необходимо добавить половину интернета в белый список, потому что поддержка Яндекс подтвердила, что ошибки нет, это всё - их диапазон.

Как создать шаблон в Zabbix

Многим знаком Zabbix, помогающий мониторить и отслеживать состояние сетевых узлов, серверов и сервисов. Этот инструмент представляет собой open-source систему, которая поддерживает сбор метрик с различных устройств, анализ данных и оповещение при возникновении проблем. Благодаря своим функциям Zabbix позволяет автоматизировать мониторинг, гибко управлять конфигурациями и интегрировать сторонние решения.

А однo из ключевых инструментов — использование шаблонов, работа с которыми упрощает отслеживание и контроль сетевых узлов и серверов. Шаблоны помогают быстро настраивать группы хостов, синхронизировать мониторинг и минимизировать ручную работу. Подробнее о работе с пользовательскими шаблонами в Zabbix, их настройке и привязке к хосту рассказали в базе знаний Рег.облака.

19 сентября — СУБД-митап Tantor JAM

Митап от разработчика СУБД Tantor Postgres и машин баз данных Tantor XData пройдет в Москве. Это отличный повод встретиться для всех, кто интересуется развитием российских СУБД и будущим сферы управления корпоративными данными.

Регистрация завершена

В программе мероприятия:

• Стратегия «Тантор Лабс» на 3 года;

• Новая версия платформы Tantor — ведущего enterprise-решения для администрирования и мониторинга любых БД на основе PostgreSQL;

• Новинки СУБД Tantor Postgres для более высокой производительности и защищённости данных;

• Инструментарий для управления интеграциями и загрузкой данных, осуществления миграций с минимумом даунтайма;

• Особое внимание будет уделено Tantor XData — первой российской машине баз данных от вендора СУБД, созданной для самых сложных промышленных задач, высоконагруженных защищённых систем и крупномасштабной аналитики в стратегически важных отраслях.

Митап пройдет 19 сентября 2025 г. на 40-м этаже башни Mercury Space по адресу: Москва, 1-й Красногвардейский проезд, 15. Регистрация участников стартует в 12.00.

Будем рады видеть вас и ваших коллег!

Представлен музыкальный сервис OpenSpot Music с треками со многих стримингов с высоким качеством музыки. Алгоритмы подборки помогут найти новые песни, можно собрать собственные плейлисты.

WAF: как работает защита веб-приложений

Собрали подробную инструкцию по защите приложений — рассказываем, что такое WAF (Web Application Firewall) и как он функционирует. WAF — это специальный файервол для защиты сайтов, мобильных приложений и API от кибератак и различных угроз. Решение представляет собой фильтр, который отслеживает и проверяет весь входящий и исходящий HTTP/HTTPS-трафик и преждевременно блокирует подозрительные запросы. Сервис можно установить прямо на сервере, в сети компании или в облаке. 

В основе файервола лежат заранее заданные правила, по которым он определяет безопасность запроса и внимательно изучает ключевые части HTTP-коммуникации:

• GET-запросы, с помощью которых пользователь получает данные от сервера;

• POST-запросы, которые отправляют данные на сервер и могут менять его состояние;

• PUT-запросы, использующиеся для обновления или создания данных;

• DELETE-запросы, предназначенные для удаления данных.

Существует три основных вида WAF-решений: сетевой, хостовый и облачный. Подробнее о каждом из них, а также о возможностях защиты приложений читайте в базе знаний Рег.облака.

Начинаем собрание анонимных любителей S3 👀

С крутейшей новости — мы добавили возможность создавать неограниченное число дополнительных пользователей в S3, чтобы вы не скучали в своем бакете :)

Что входит в фичу:

➖ Настройка индивидуальных прав для пользователей
➖ Управление добавленными пользователями из бакета и из общего раздела
➖ Возможность сброса ключей доступа

Юзкейс 1: Можно выдать одному сотруднику доступ для просмотра, а другому — полное управление конкретным бакетом.

Юзкейс 2: Если у вас есть приложение, которое работает с S3, вы сможете завести для него отдельного пользователя с ограниченными правами.

Подключить допов можно в виджете на дашборде бакета → потом добавить в бакет через вкладку «Пользователи».

Потестить фичу в деле →