Настройка Linux *

Привет, Хабр!

Я, Алексей, исследователь‑аналитик киберугроз в компании R‑Vision. Сегодня мы с вами поговорим об уязвимости DirtyPipe CVE-2022-0847 и рассмотрим возможные способы обнаружения эксплуатации данной уязвимости.

Критичные уязвимости Linux ядра выходят не так часто, но при этом несут особую опасность, так как затрагивают сразу множество дистрибутивов, работающие на уязвимой версии ядра. Зачастую данные уязвимости могут быть проэксплуатированы даже из "ограниченных" сред контейнеров, если на хостах не настроены дополнительные политики безопасности (hardening). Для их устранения обычно требуется обновить само ядро, что может быть нести порой большие риски для промышленных систем. Одна из таких - DirtyPipe.

Данная уязвимость публично была раскрыта в марте 2022 и затронула версии Linux ядра начиная с версии 5.8, и была исправлена в версиях 5.16.11, 5.15.25, and 5.10.102. Данные версии ядра популярны во многих известных дистрибутивах, включая тот же Android. И хоть с момента выхода патчей прошло достаточно времени, далеко не во всех компаниях они установлены.

В статье мы рассмотрим основные способы анализа и возможные способы детектирования с использованием auditd и модулей eBPF, которые в целом можно будет также применять и к другим уязвимостям.

Уязвимость позволяет непривилегированному (non-root) пользователю вносить изменения в файл, который доступен только для чтения, то есть файл имеет права read для текущего пользователя. По сути это позволяет получить root'a разными способами. При построении возможно детектирования мы не будем заострять внимание на пост эксплуатационных шагах, а рассмотрим, как можно мониторить обращения к ядру, чтобы распознать попытки эксплуатации.

Автор

Выполняйте свои скрипты Python, как команды bash

Написание скриптов Python для создания интерфейсов командной строки (CLI) — широко используемый метод для DevOps и бэкенд разработки.

Ключом к реализации CLI в Python является встроенный модуль argparse. Он предоставляет все необходимые функции и позволяет использовать скрипт Python в качестве команды bash.

В этой статье будут представлены некоторые важные моменты создания CLI с помощью Python на 7 уровнях сложности.

Astra Linux — крупный игрок на рынке информационных технологий в России. Компания производит отечественное ПО, в том числе защищенные операционные системы и платформы виртуализации. Продукты разработчика входят в реестр Минкомсвязи России, используются крупнейшими государственными структурами страны, министерствами и корпорациями. Он является членом ассоциации «Руссофт» и АРПП, лауреатом национальных и международных премий. Список заслуг и достижений достаточно внушительный, что и стало главным стимулом более детального знакомства с основными продуктами.

Недавно для популярного пакета для работы с мультимедиа устройствами (в основном камерами) появилась возможность сборки через meson. В данной статье мы рассмотрим как это осуществить. Собирать будем в Ubuntu 22, но подойдёт и любой другой популярный современный дистрибутив.

Вот и я потихоньку пришёл к тому, чтобы сделать свой домашний сервер. Точнее, идея появилась ещё со школьных времён, но вот реализовать в каком-либо виде получилось только сейчас. И я бы хотел поделиться тем, что у меня получилось, с читателями Хабра, и ко всем написанным статьям я готов добавить ещё одну, так как думаю что мой опыт может быть интересен. В любом случае - велком под кат, если заинтересовало.

Привет!

На связи Ваня Гулаков, DevOps из CloudMTS. Сегодня хочу рассказать про контейнерные ОС и как мы искали для сервиса Managed Kubernetes ту самую.

До недавнего времени мы использовали дедушку CentOS 7, который уже давно отжил свое. Основные причины переезда, соответственно, старое ядро и отсутствие поддержки. 

Раз уж переезд был неизбежен, появилась мысль присмотреться к так называемым Linux For Containers или Container Optimized OS дистрибутивам. 

Введение

У меня была задача «Собирать статистику постов в vk каждый час». Я не являюсь разработчиком или DevOps специалистом. Поэтому мой способ решения задачи сложился из поисковых запросов, личного опыта, советов друзей и коллег.

Решение я разбил на 2 части.

Эта статья посвящена решению задачи добавления часов реального времени на примере конкретных и широко доступных модулей для RTC и на примере одного конкретного подхода к реализации и алгоритму работы и является скорее примером, демонстрирующим общий принцип. Опираясь на данный материал, Вы можете решить свою задачу, используя другие модули, свои алгоритмы работы и другие одноплатники. Мы сделаем и продемонстрируем решение данной задачи на примере недавно появившегося на нашем рынке одноплатного компьютера Repka Pi 3 — альтернативе Raspberry Pi 3 (или импортозамещающему аналогу Российской разработки — кому как больше нравится).

При этом в Repka Pi как и в Raspberry Pi 3 нет часов реального времени (RTC) и при выключении время сбрасывается, а при включении и подсоединении к сети и к Интернет время устанавливается синхронизацией с сервером точного времени. При этом, если в проекте нужно обеспечить закрытость сети или просто независимость от внешнего сервиса или даже того пуще — нужно какую то автономную работу устройств обеспечить с синхронизацией по времени, — то наличие RTC становится критически необходимым. Строго говоря, используемый в Repka Pi 3 процессор AllWinner H5 имеет встроенные часы реального времени, но разработчики одноплатника не предусмотрели встроенного слота для батарейки часов из-за ограниченности места на плате Репки (далее так и будем называть этот одноплатник).

LXD позволяет создавать контейнеры и управлять ими. В статье разберём, как настроить LXD и использовать его для запуска Nginx в контейнере. А также рассмотрим, как перенаправить трафик из Интернета в контейнер, чтобы сделать пробную веб-страницу доступной.

Данный материал не претендует на самое современное правильное решение для продакшена, а больше формирует понимание работы контейнеров, существующих альтернатив Docker.

Привет, Хабр!

Продолжу рассказывать о впечатлениях обычного пользователя о российских ОС семейства Linux.

Кто пропустил, в первой части был Simply Linux, во второй части — Astra Linux CE Orel.
Далее...

Bspwm - это минималистичный, быстрый и достаточно конфигурируемый тайловый оконный менеджер, представляющий окна как слои двоичного дерева. Поддерживается несколько мониторов. Имеет простую настройку.

В качестве быстрого решения для установки вы можете воспользоваться моим установочным скриптом.

Инструкция — вектор для тех, кому нравится поковыряться в системе

В прошлой статье я начал публиковать инструкции по развёртыванию КОМПАС-3D под ОС на ядре Linux, а сегодня это дело закончу. Пока разработчики ещё трудятся над нативной Linux‑версией КОМПАС-3D, поэтому сейчас доступны два варианта работы в Linux: через WINE@Etersoft от команды «Этерсофт» и свободную версию Wine.

Ранее мы рассмотрели запуск с помощью WINE@Etersoft, на очереди Wine.

Когда вы настраиваете удалённый доступ, важно не только предоставить всем сотрудникам подключение к нужным сервисам, но и позаботиться о безопасности. В этом помогает VPN — виртуальная частная сеть. 

В первой части мы запустили OpenVPN на Debian 11. Однако, прежде чем начать его использовать, нужно создать файл конфигурации для клиентской машины. Во второй части разберём, как создать инфраструктуру, которая будет генерировать файлы конфигурации клиента. А также отдельно рассмотрим, как установить клиентский VPN-профиль на Windows, macOS, Linux, iOS и Android.

Когда вы настраиваете удалённый доступ, важно не только предоставить всем сотрудникам подключение к нужным сервисам, но и позаботиться о безопасности. В этом помогает VPN — виртуальная частная сеть. VPN-сервер действует как единая точка входа: он аутентифицирует пользователей и создаёт зашифрованный туннель между их устройствами и частной сетью. А ещё он считается более гибким решением, чем, например, SSH Jump Server. 

Вы можете использовать платный VPN или создать и администрировать собственный. В этой статье разбираем, как настроить OpenVPN на Debian 11.

Конфигурируем Squid 5.2 и включаем в работу.

Часть 3. Настройка доступов и скоростей

Теперь мы настроим доступы по пользователям (или группам пользователей, принцип одинаковый). Например, у нас есть три пользователя:

Я уже довольно долго собираю и настраиваю десктопы с Linux для дома и офиса, и последнее время не без удовольствия выбираю конфигурации со встроенной графикой Intel. Когда‑то я начинал с машинки, в которую поставил с Core i3–2105, (HD Graphics 3000), позднее — более новый Core i3–9000 (UHD Graphics 630), а совсем недавно мне очень недорого достался Intel NUC5PPYH, разумеется тоже с фирменным графическим контроллером Intel.

Сразу хочу сказать, что если вы не играете в коммерческие игры в Linux, то графические «встройки» Intel — это лучший выбор в плане стабильности и поддержки производителя. Видеодрайвер уже много лет есть в ядре, и он просто работает: с аппаратным ускорением из коробки, без тиринга, без дополнительных проприетарных блобов и прочей головной боли. Более того, таких драйверов минимум два: это традиционный 'intel' и более новый 'modesetting'. Графика Intel с самого начала лучше всего работала в Wayland, не будем забывать и об этом.

Поводом для этой заметки стало наблюдение: эффекты рабочего стола могут тормозить на старых «встройках» Intel при том, что в OpenGL‑приложениях может быть вполне высокий FPS и хорошая плавность. Я наблюдал разные признаки торможения в двух самых популярных рабочих окружениях (KDE Plasma 5 и Gnome 4) как в X11, так и в Wayland. Я хочу поделиться советом про то, как ситуацию можно исправить на примере дистрибутива Fedora $releasever (на момент описания это 37).

Настройка файла конфигурации Squid

Произведем базовую настройку, открываем /etc/squid/squid.conf

# Аутентификация Kerberos

auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s proxy_k@YOURDOMAIN.RU

auth_param negotiate children 160 startup=0 idle=1

auth_param negotiate keep_alive off

 ...