Всё самое интересное из мира кибербезопасности /** с моими комментариями.
На этой неделе новости про новый вектор атаки из BIOS, который нельзя обнаружить антивирусами, Минцифры придумали особый формат интернета в условиях ограничений, Электронный документооборот - новый эффективный канал распространения вирусов, за месяц в MAX обнаружили минимум 79 уязвимостей, а в Linux более года скрывался умный вирус и другие только самые важные и интересные новости из мира информационной безопасности.
Да, вам не показалось: Android и MIPS можно было подружить! В эпоху, когда ARM и AMD64 правят балом, устройства на иных процессорных архитектурах кажутся диковинкой. Но раньше производители устройств охотнее шли на эксперименты и особенно этим выделялась компания SmartQ. В 2009 году они разработали планшет аж с 3-мя операционными системами на борту, а в 2014 — гиковские Android-часы с очень экономичным и при этом мощным MIPS-чипсетом.
Что внутри у такого необычного гаджета, как аккумулятор на 280мАч и Android уживаются вместе и почему 11-летние часы круче любых современных — читайте в подробной статье!
В части 1 и части 2 мы подробно рассмотрели процесс создания загрузочного образа RDP-клиента на базе Debian 12. В результате у нас получился готовый к использованию образ, который можно записать на USB-носитель или установить на жёсткий диск.
В некоторых случаях требуется уменьшить размер виртуального диска — не просто сжать образ, а физически уменьшить объём виртуального qcow2-диска.
Самый надёжный способ — создать новый образ с меньшим диском и перенести туда систему.
Как создать образ RDP-клиента для запуска с USB-флешки (часть 2)
Установка графической среды и RDP-клиента.
Docker — не магия, а грамотное применение механизмов Linux. Разбираем инструмент, который пугает своей сложностью не меньше блокчейна. Показываем на пальцах как работают: Namespaces, Cgroups, OverlayFS – основные компоненты любого контейнера, и как стандарт OCI объединяет их в единую экосистему. Об этом и не только в статье.
Как создать загрузочный образ RDP-клиента для запуска USB-флешки.
Часть 1. Подготовка загрузочного образа.
Установка и настройка базовых пакетов. Настройка сетевого интерфейса, grub для работы на USB-накопителе.
Вторая часть перевода лекции Карсона Андерсонa, в котором представлен подробный разбор принципов работы SaltStack, а именно модулей их вариаций, методов взаимодействия с ними и многого другого. Всех заинтересованных прошу под кат. Должен предупредить: под катом много текста, а также много GIF'ок.
Привет, Хабр! Все, кто администрирует Linux, рано или поздно сталкивается с cron - стандартным планировщиком задач. Но если настроить его "на скорую руку", можно обнаружить неприятные сюрпризы:
- Скрипт не запустился, тк cron работает в другом окружении
- Сервер лёг от нагрузки, потому что 100 задач стартовали одновременно
- Вы не узнали об ошибке из-за того, что вывод скрипта попал в /dev/null
В этой статье разбор не только основы работы с cron, но и:
- Продвинутые форматы расписания - как задавать сложные интервалы и комбинировать условия
- Типичные подводные камни - работа с переменными окружения, логирование, управление параллельным выполнением
- Альтернативы для сложных сценариев - когда cron уже недостаточно и стоит обратить внимание на systemd.timer
А также, дополнительная информация:
- Как избежать "падений" из-за наложения задач
- Когда cron - хороший выбор, а когда лучше использовать другие инструменты
Статья будет полезна как начинающим администраторам, так и тем, кто хочет глубже разобраться в автоматизации задач в Linux.
Ко мне спустя 9 лет после предзаказа приехала штука из вот этой статьи. Это буквально «новый старый компьютер» из 2016. Посмотрим, что он из себя представляет, что умеет и как выглядит. Внутри много фото и личного мнения.
API-интерфейсы — основа современных приложений и одна из самых уязвимых частей инфраструктуры организации. Это делает их излюбленной целью злоумышленников.
Тревожно, что подобные уязвимости настолько легко эксплуатировать, что этому можно научить человека без технического образования за один день. И спустя три года команда безопасности Intruder всё ещё находит те же уязвимости в API крупных организаций, включая компании, входящие в индекс S&P 500.
Именно поэтому мы создали Autoswagger — бесплатный инструмент с открытым исходным кодом, который сканирует API на наличие уязвимостей авторизации.
Привет, Хабр!
Сегодня мы рассмотрим age — современный инструмент файлового шифрования, который за последние пару лет стал твёрдым фаворитом всех, кому надо быстро и надёжно прятать данные.
Безопасность с Astra Linux: ресурсы для специалиста ИБ
Представленный материал систематизирует ключевые ресурсы для специалистов ИБ, работающих с Astra Linux. Позволяет сократить время на поиск документации и избежать ошибок при проектировании защищённых систем.
В последнее время вырос интерес сообщества к дистрибутиву Arch Linux: он лёг в основу SteamOS, его стал использовать PewDiePie, создатель Ruby on Rails сделал свою сборку. Хакеры тоже активизировались и начали распространять вредоносные пакеты в Arch User Repository. Часто при обсуждении дистрибутива упоминается его пакетный менеджер — pacman. Информацию о его использовании можно легко найти в Сети. Но что происходит на самом деле, когда мы выполняем sudo pacman -S firefox или sudo pacman -Syu?
В этой статье детально изучим работу с пакетами в Arch Linux: что они из себя представляют, как создаются и распространяются, чем мета-пакет отличается от группы пакетов и какую информацию о них хранит pacman. Писал с расчётом на тех, кто не боится командной строки. При этом если вам интересно, но нет установленного Arch под рукой — не беда: все команды можно выполнить в Docker контейнере, инструкция прилагается.
Для тех, кто создает системы сбора данных с датчиков и мониторинга метрик для умных домов и промышленного оборудования есть хорошая новость. Теперь такие системы можно собирать с применением Российского одноплатного компьютера Repka Pi (который в т. ч. есть в реестре Минпромторга) и недавно появившейся Российской операционной системы Napi Linux, специально созданной для решения подобных задач и, что важно, с открытым кодом.
К микрокомпьютеру Repka Pi через порты USB, Ethernet, GPIO, в т. ч. SPI, I2C, Uart и другие интерфейсы можно подключать различное оборудование с целью мониторинга средствами ОС Napi Linux.
Операционная система Napi Linux разработана для встраиваемых (Embedded) систем.
Когда-то в отделе разработки встраиваемого ПО в YADRO мне задали вопрос: «А как с этим взаимодействовать?». Речь шла в первую очередь о I2C для QEMU, а не GPIO. И я некоторое время был одержим идеей «прозрачного» взаимодействия с устройствами внутри QEMU — использовать те же библиотеки и инструменты, как и для реальных устройств, что может быть прекраснее? Не какой-то там скрипт для посылки команды по QMP, а знакомый и целостный gpioset/gpioget из библиотеки libgpiod или поставляемые с ядром инструменты из tools/gpio.
Получилось ли это у меня? Да, но какой ценой…
Привет, Хаброжители! Дистрибутив Kali Linux, включающий сотни встроенных
утилит, позволяет быстро приступить к тестированию безопасности. Однако наличие такого количества инструментов в арсенале Kali Linux может ошеломить. Во втором издании описываются обновленные возможности утилит и подробно рассматриваются цифровая криминалистика и реверс-инжиниринг.
Автор не ограничивается рамками тестирования безопасности и дополнительно рассказывает о криминалистическом анализе, в том числе анализе дисков и памяти, а также базовом анализе вредоносных программ.
Может ли ядро Linux при всей своей гибкости обеспечивать гарантированное время отклика при работе с приложениями?
Ядро Linux является универсальным и приспособлено к работе как с крошечными встраиваемыми устройствами, так и с титаническими серверами… а также со всем спектром машин между этими крайностями! Но может ли такое поразительно адаптивное ядро обеспечить гарантированную скорость отклика для приложения, работающего на всех этих платформах? Если в вашем приложении допустимая задержка при отклике укладывается в 200 микросекунд — то уверенно отвечаем на этот вопрос «да»! (Кстати, для Linux такая планка совсем не высока, но, чтобы её держать, потребуется тщательно подбирать аппаратное обеспечение и, возможно, обратиться за консультацией к специалисту по системам Linux, работающим в режиме реального времени).
Итак, почему же в приложении, работающем под Linux, иногда могут возникать задержки свыше 200 микросекунд? Универсальность ядра Linux требует сбалансировать пропускную способность, время отклика и честность распределения процессорной мощности, чтобы соответствовать требованиям такой универсальности. Если по одному из этих аспектов предъявляются жёсткие требования, то необходимо тонко настраивать как само ядро, так и поведение приложения. В этом посте рассмотрим 10 основных пунктов, которые необходимо учитывать при разработке системы Linux, к которой предъявляются строгие требования по работе в режиме реального времени. По каждому пункту также упомяну, в каком аспекте легко засыпаться разработчику-новичку, только приступающему к программированию систем реального времени под Linux.
Вы слышали о новой функции Containerization, представленной Apple на WWDC 2025?
В данной статье рассматривается процесс запуска Kali Linux в MacOS с использованием нового функционала контейнеров от Apple.
27 июля 2025 года Линус Торвальдс представил релиз ядра Linux 6.16 под кодовым названием Baby Opossum Posse. Новый релиз вышел спустя два месяца после версии 6.15, строго по графику, и включает множество улучшений, оптимизаций и поддержку нового оборудования. Релиз Linux 6.17 ожидается в октябре 2025 года и станет основой для дистрибутивов, таких как Ubuntu 25.10 и Fedora 43. Исходный код Linux 6.16 доступен на kernel.org, а коммит релиза можно найти на GitHub и в Makefile.
В Linux 6.16 принято 15 924 исправления от 2 145 разработчиков, размер патча составил 50 МБ: изменено 13 793 файлов, добавлено 655 451 строк кода, удалено 316 441 строк. По сравнению с Linux 6.15 (15 945 исправлений, 59 МБ), изменения чуть менее объемные, но затрагивают ключевые подсистемы. Около 45% изменений связаны с драйверами, 16% — с архитектурным кодом, 13% — с сетевым стеком, 4% — с файловыми системами и 3% — с внутренними подсистемами ядра. Исходный код включает 38,4 миллиона строк в 78,4 тысячах файлов (по данным cloc).
Одновременно выпущено ядро Linux-libre 6.16-gnu, очищенное от несвободных компонентов. В нём нейтрализована загрузка блобов в новых драйверах, таких как Intel QAT 6xxx crypto, ST vd55g1 sensor, ath12k AHB WiFi, Aeonsemi AS21xxx и MediaTek 25Gb Ethernet. Также обновлена чистка блобов в драйверах Nova Core, Nouveau, Realtek r8169 Ethernet, Qualcomm Iris, Venus, Mediatek mt7996 WiFi, Qualcomm ath11k и ath12k WiFi, Texas Instruments tas2781 и Renesas R-Car gen4 PCIe.
Как часто вы запускали какую-нибудь штуку в терминале — и она зависала навсегда? Или наоборот: вам нужно было увидеть, как что-то меняется каждую секунду, а вы упорно жали стрелку вверх и Enter? А может вы хотели запланировать задачу через 5 минут, но cron — это уже overkill?
Для всех этих сценариев в Linux есть три проверенных утилиты: timeout, watch, at. И, да, можно было бы обойтись скриптами и велосипедами, но... мы же не зря используем Unix-подход, где всё уже давно придумано.
Сегодня мы рассмотрим: как управлять временем выполнения команд в Linux с помощью timeout, watch и at.
