Системное администрирование *

WhatsApp в России депутаты обещают заблокировать уже в очень скором времени. Доверие к Telegram у многих довольно сильно было подорвано после публикации расследования одного издания об особенностях их протокола вкупе с подробностями о том, кто владеет их сетевой инфраструктурой и с кем он связан, да и недавнее появление Telegram в реестре РКН тоже оптимизма в их отношении не добавляет. Max - оставим для сумасшедших и безвыходных, учитывая, кто и зачем его создал. Signal - отличный мессенджер и всем хорош, но в России его тоже периодически пытаются заблокировать.

На фоне всего этого многие начали задумываться о поднятии своего сервера для обмена сообщениями. С самодельными серверами и "не-попсовыми" протоколами всегда встает проблема "а с кем там общаться?", потому что перетащить прям вот вообще всех собеседников и контрагентов на что-то им непривычное практически нереально. Но если речь идет только, например, об инструменте общения внутри семьи, небольшой группы единомышленников или внутри одной компании, то это может быть вполне неплохим вариантом.

В наше время как self-hosted альтернативу популярным мессенджерам часто упоминают Matrix, например, с клиентом Element. На Хабре есть подробные инструкции, например вот эта: https://habr.com/ru/articles/837904/. Я попробовал, и мне не понравилось. Клиенты тормозные, через нестабильный интернет-канал все работает просто отвратительно, а сам сервер просто неповоротливый и укладывает не слишком богатый на процессор и память VPS даже всего с парой клиентов.

И тут мне вспомнилось про XMPP, он же Jabber. Он родом еще из тех времен, когда люди пользовались процессорами на 200-300 мегагерц и подключались к интернету через dial-up модемы - то есть он изначально очень нетребовательный к ресурсам. Между тем, развитие его не замерло на месте, а на сегодняшний день он умеет почти все то что требуется от современного мессенджера: хранение истории, передача файлов, аудио-видео звонки, end-to-end шифрование, и другое.

17 июля я сдал анализы крови в компании Гемотест. Спустя полтора дня мне пришёл email с результатами на адрес, который я указал перед сдачей. К счастью, с анализами было всё хорошо: у меня нет ВИЧ, гепатита B, гепатита C, сифилиса, ура! PDF с анализами было заверено приложенной электронной подписью с инструкцией по проверке. Было внутри даже такое:

УВЕДОМЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ: Это электронное сообщение и любые документы, приложенные к нему, содержат конфиденциальную информацию. Настоящим уведомляем Вас о том, что если это сообщение не предназначено Вам, использование, копирование, распространение информации, содержащейся в настоящем сообщении, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю по электронной почте и удалите это сообщение.

А потом ещё и то же самое на английском. Ну кайф. Вроде всё хорошо, можно не волноваться. Но одна вещь всё-таки лишила меня покоя.

Настало время, когда каждый из нас может попробовать OEMConfig от Samsung под названием Knox Service Plugin. OEMConfig — это специфические настройки устройства от производителя, которые доступны на его устройствах. Пока они есть только на Samsung. Если не согласны, пишите в комментариях.

Перенастройка кнопок, запрет обновлений Android, блокировка облачного GalaxyAI, голосовых вызовов или оптимизации батареи, включение и выключение устройства при подаче и отключении питания и многое другое. KNOX — это не только таинственная безопасность inside.

В статье обзор безоблачного Windows приложения KME Direct, которое позволяет всё это делать.

Дизайнеры, программисты, копирайтеры, маркетологи и многие другие на митапах, встречах, хакатонах, в комментариях на Хабре обсуждают, как, когда и в чём их заменит ИИ. В многоголосье айтишных голосов реже остальных слышно сисадминов. Не то чтобы они умели заговаривать роботов и были сами теми ещё искусственными интеллектами — просто есть довольно весомые предпосылки, которые говорят, что бубен и интуиция не одну нейронку переживут. 

День системного администратора — самое время разобраться кожаным с железными.

Как бы ни отличались дистрибутивы, в основе любой Linux-системы лежит одна и та же иерархия каталогов. Некоторые директории встречаются повсюду, другие — появляются лишь при наличии определённых сервисов. Но чтобы понимать, где живут исполняемые файлы, конфигурации, временные данные или точки монтирования, нужно ориентироваться в стандарте FHS. В этом разборе — чёткое и системное описание всех ключевых директорий, их назначения и примеров использования, без упрощений и штампов. Материал будет полезен для новичков в Linux.

Отключение IPv6 на шлюзе давно перестало быть надежной защитой. Протокол по умолчанию активен на большинстве клиентских машин, которые периодически отправляют в сеть служебные запросы вроде Router Solicitation. Именно эта «скрытая» активность открывает двери для целого класса атак, позволяющих перехватить трафик, подменить DNS или провести NTLM-Relay.

В этой статье мы подробно, с примерами кода на Python/Scapy и командами для настройки, рассмотрим самые распространенные векторы атак на IPv6 в локальном сегменте:

RA Spoofing: Как навязать себя в качестве шлюза по умолчанию.

RDNSS Spoofing: Как стать DNS-сервером для современных ОС без DHCPv6.

DHCPv6-атаки: Механика работы mitm6 и ее ручная реализация.

Пассивный сбор данных: Как составить карту сети, просто слушая эфир.

Материал будет полезен пентестерам, сетевым инженерам и системным администраторам, которые хотят понять реальные риски IPv6 и научиться им противостоять.

Привет, Хабр! Я, Солнцев Евгений, руководитель управления эксплуатации прикладных систем Страхового Дома ВСК.

У нас периодически возникает необходимость в миграции информационных систем и сервисов в другой ЦОД или облачную инфраструктуру. Необходимость в миграции может быть вызвана:

Многие организации и предприятия устанавливают почтовый сервер Carbonio, как решение для унифицированных коммуникаций, поддерживающее широкий спектр корпоративных инструментов, такие как почта, ежедневники, адресные книги, задачи, облачное хранилище для файлов, а также видеоконференции, и которое доступно не только на компьютерах, но и мобильных устройствах. Для некоторых из них Carbonio – первая и основная платформа для совместной работы, а для некоторых — это платформа для миграции с Microsoft Exchange. И тут администраторы сталкиваются с необходимостью подключения к почтовой системе сторонних клиентов. При этом современный пользователь привык, что от доступа к нужным ему сервисам его отделяют ввод своего адреса электронной почты и пароля почты. Именно поэтому необходимость ввода дополнительных и, к тому же, весьма неочевидных данных для использования такой базовой вещи, как электронная почта, может ввести пользователей в ступор. 

Привет, Хабр! Давно хотел начать тему российских импортозамещающих аналогов доменной структуры от Windows. Да, от самих компаний были уже материалы: как настраивать, как «поднимать», а мне захотелось узнать историю этих систем и посмотреть, куда они движутся. Ну и первая на очереди — компания «Ред Софт» и система «Ред Адм».

Как появилась система управления рабочими машинами и серверами от «Ред софта», какие были open source наработки, как от них отказались и какими операционными системами можно управлять с помощью «Ред Адм» — об этом мы поговорили с директором разработки инфраструктурных решений «Ред Софт» Ильёй Чижовым и продукт-оунером Владом Цынским. Приятного чтения!

В этом гайде мы рассмотрим 2 способа как легко перенести данные в Persistent Volume из одного Kubernetes кластера в другой без сложных манипуляций и промежуточных скачиваний с помощью Tuna туннелей. Гайд подойдет для любых типов данных, это может быть Wordpress приложение или каталог с картинками, бэкапами, в общем что угодно.

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? 

Один из возможных вариантов — использование атакующими техники DLL-Hijacking (Mitre T1574.001). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). 

Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. 

Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. 

В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек.

Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. 

В этой статье мы: 

За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. 

Осветим примеры атак с подменой DLL согласно их классификации.

Расскажем о защитных мерах для предотвращения атак этого типа.

Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). 

Итак, добро пожаловать под кат!

А что, если бы виртуалки вели себя как контейнеры — с миграциями, мониторингом, провижингом томов и GitOps? Мы во «Фланте» так и сделали: совместили Kubernetes с KubeVirt, там-сям допилили и получили решение, которое позволяет запускать виртуальные машины рядом с контейнерами и управляется как обычный кластер Kubernetes.

Привет, Хабр! Я — Олег Сапрыкин, технический директор по инфраструктуре компании «Флант». Сегодня я расскажу, как мы создавали виртуализацию в экосистеме Deckhouse от выбора инструмента для управления ВМ в 2023 году до полноценного продукта, готового к использованию в production весной 2025-го. Подробно опишу, с какими подводными камнями мы столкнулись в процессе эксплуатации и какие доработки потребовались.

Всем привет!

Экспериментировал с оптимизацией SQL запросов в ChatGPT и Claude. В какой-то момент понял, что это превращается в одно и то же: Напиши промт → вставь SQL → подожди → поправь → повтори

Привет, Хабр!

Сегодня мы рассмотрим, как написать один RPM .spec-файл так, чтобы он одинаково успешно собирался на Fedora, RHEL и даже на openSUSE.

Но для начала: зачем вообще поддерживать несколько дистрибутивов одной спецификацией?

Привет, Хабр! На связи Артём Камыш, руководитель платформенной команды VK Cloud. Сегодня расскажу о том, как мы сделали систему, которая помогла:

• уменьшить количество инцидентов;
• сократить время их устранения;
• ускорить постинцидентный анализ;
• стандартизировать процессы разработки для 120+ проектов.

Эта статья будет полезна техническим директорам и руководителям разработки, командам поддержки, релиз-менеджерам и инцидент-менеджерам, да и в целом всем, кто связан с эксплуатацией IT-систем.

Привет, я Виталий Ранн, занимаюсь в Cloud.ru всем, что связано с брокерами и кешами. Сегодня я хочу закопаться в вопрос о том, в каких случаях self-hosted Redis — это нужно, правильно и неизбежно, а в каких — это победа мастерства над здравым смыслом. Те, с кем мы виделись на конференции GoCloud, уже знают, о чем пойдет речь, а если вы пропустили, знакомьтесь. Вас ждет история DevOps’a Алексея, который столкнулся с проблемой падения Redis в своей компании. Наш герой виртуозно использовал StatefulSet, Redis Sentinel, Helm-чарты Bitnami и другие инструменты, что позволило ему сократить время деплоя и снизить количество сбоев на 70%. Но захочется ли повторить его путь другим — большой вопрос. 

Статья будет особенно полезна тем, кто только пробует Redis на вкус и еще не определился, в каком формате с ним стоит взаимодействовать: self-hosted или managed PaaS.

Протокол MPTCP (Multipath TCP) устроен довольно сложно. Главным образом это так из-за того, что он должен нормально работать в интернете, где промежуточные устройства (middlebox), такие как NAT, файрволы, IDS или прокси, способны модифицировать части TCP-пакетов. Если что-то помешает нормальной работе MPTCP, то, в худшем случае, MPTCP-соединение должно иметь возможность «откатиться» к резервному варианту — к «обычному» TCP. В наши дни подобные «откаты» случаются реже, чем прежде. Вероятно — это так из-за того, что MPTCP используется во всём мире с 2013 года на миллионах смартфонах Apple. Но проблемы с передачей MPTCP-трафика всё ещё возможны. Например — в некоторых мобильных сетях, в которых применяются PEP (Performance Enhancing Proxy, прокси-сервер, предназначенный для улучшения производительности сетевых соединений), где MPTCP-соединения не могут обойти эти прокси-серверы, не подвергнувшись их воздействию. В подобных случаях можно продолжать пользоваться MPTCP и его полезными возможностями, прибегнув к туннелированию MPTCP-соединений. Тут существуют разные решения, но обычно они добавляют в систему дополнительные уровни абстракции и требуют настройки VPN (Virtual Private Network, виртуальная частная сеть) с применением частных IP-адресов между клиентом и сервером.

Здесь вашему вниманию предлагается решение этой проблемы, которое устроено проще, чем остальные: TCP-in-UDP (встраивание TCP-пакетов в UDP-датаграммы). Это решение основано на eBPF, оно не добавляет к пакетам дополнительных данных и не требует использования VPN.

Привет, Хабр! Меня зовут Дмитрий Канатьев, я руководитель группы поддержки подключений МТС Линк. Как показывает мой опыт, 90% ситуаций с неработающим звуком можно решить самостоятельно и с помощью простейших действий. Они общие для любых сервисов видеоконференций, не требуют специфических знаний и, как правило, решаются в пару кликов переключением опций, спрятанных где-то в недрах настроек.

Специально для пользователей без глубокого понимания операционной системы мы собрали обширную базу знаний и проработали порядок, в котором стоит действовать. Этот гайд поможет быстро понять причину и самостоятельно исправить неполадки со звуком на онлайн-мероприятиях. Все эти операции выполняются за 5–10 минут, но экономят сотрудникам поддержки и системным администраторам время, которое они смогут потратить на просмотр аниме решение сложных и заковыристых проблем.

Расскажу про то, как устроен мониторинг в OKD-кластерах, какие у него есть минусы и как мы их побороли, мигрируя основную функциональность на VictoriaMetrics Agent.

Наша команда добавила к себе в список доступных для установки новую OS — Talos Linux. В этой статье мы постараемся рассказать, что такое Talos Linux, и в чем его удобство перед остальными OS для кластера Kubernetes. Дополнительно мы развернем тестовый кластер, на который задеплоим наше первое приложение.