Системное администрирование *

В последнее время в различных отчетах об атаках и результатах пентестов часто фигурирует FreeIPA — система централизованного управления хостами и группами пользователей, ориентированная на Linux‑инфраструктуру. Можно сказать, что это опенсорс‑альтернатива для MS Active Directory. Хотя FreeIPA не является ключевым компонентом инфраструктуры, из‑за особенностей конфигурирования, она может стать для злоумышленника кратчайшим путем к компрометации организации. Поэтому мы — Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC — решили рассказать о схемах атак на FreeIPA, основных методах их детектирования и расследования.

Мы хотим разобрать целый ряд атак: показать их механику, поделиться правилами корреляции, которые вы сможете использовать для самостоятельного выявления таких инцидентов, и советами по расследованию. Поскольку в итоге получился очень обширный tutorial, мы разделим его на две публикации. Во второй части посмотрим на весь Kill Chain атак на FreeIPA и покажем, как приведенные правила позволят выявлять злоумышленника на любом из этапов.

Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.

Когда нужна полноценная среда для CI/CD, но нет времени на развёртывание инфраструктуры с нуля, контейнеризированный GitLab становится быстрым и удобным решением. В этой статье покажем, как развернуть локальный GitLab и GitLab Runner через Docker и Docker Compose, избежать распространённых ошибок на старте и настроить базовый пайплайн за минимальное время.

Сейчас нелегко найти организацию - будь это цветочный магазин или крупный банк, - который не предоставляет тот или иной ИТ-сервис своему конечному потребителю.

Не могу говорить за "цветочный магазин", но бизнес легко считает, сколько стоит простой сервиса продолжительностью в одну минуту в денежном эквиваленте.

Исторически компания Увеон (входит в "Группу Астра") занималась решениями по созданию виртуальных рабочих мест на основе технологии VDI (Termidesk VDI) и терминального доступа (Termidesk Terminal). Это сложные инфраструктурные продукты, для которых отказоустойчивость компонентов критически важна.

В силу того, что все зарубежные производители покинули наш рынок, а opensource ограничен по функциональности и возможности быть полноценно интегрированным в ИТ-инфраструктуру заказчиков, мы решили начать разработку собственного балансировщика/Контроллера Доставки Приложений. Об этом и пойдет речь...

В Kubernetes важно правильно настроить StorageClass, чтобы эффективно использовать место для хранения данных приложений. Выбирать StorageClass по умолчанию можно вручную, но такой способ часто приводит к ошибкам и усложняет работу. В статье расскажем, почему ручной способ — не самый удобный, и покажем подход, который реализовали в Deckhouse. Он помогает проще и надёжнее управлять хранением данных.

Давненько я ничего не публиковал на Хабре — пора это исправлять.

В этот раз хочу поделиться темой, которая кажется простой, но на деле вызывает интерес у многих разработчиков и системных администраторов: как создать свою легковесную систему планирования задач на Python. Что-то вроде мини-аналога cron, но под свои задачи и со своими фишками.

Ведь часто бывает так: хочется, чтобы какие-то проверки или скрипты запускались в определённое время — например, в обеденный перерыв у сотрудников можно поставить автоматическую проверку всех машин на наличие вредоносного ПО. Или наоборот — распределить рутинные проверки так, чтобы они не мешали основной работе.

Привет Habr, всем максимально доброго дня!!!

После первой статьи прошло... чуть больше времени, чем рассчитывал, и вот решил продолжить тему медленных протоколов: сегодня LACP. Хотел рассмотреть его подробно, но получилось как-то уж совсем подробно, так что, как это говорилось в далеком 2005м, извените за многабукаф.

С самого начала, давайте вспомним самую важную картинку из прошлой статьи, а точнее - схему работы агрегированного канала.

Если для общения по SNMP со своими «железками» вы начинаете поиск не в документации бренда а ищете mib файлы для нее, эта статья не для вас.

Ну а если слова SNMP, Net‑SNMP, snmpwalk, snmpget вам уже встречались, но открыв любой «*.mib» вы предпочитаете его закрыть и обратиться к какому либо из mib browsers — вам стоит это почитать.

Когда я работал над техническим постом о ресолвинге DNS, то столкнулся с чем-то неожиданным. Каждый раз, когда я вводил пути к файлу hosts (/etc/h*sts — здесь я намеренно его обфусцировал, чтобы не вызвать ту самую ошибку), редактор Substack показывал «Network Error» и отказывался автоматически сохранять черновик.

Привет, на CKA курсе туторы нарочито вдалбливают последовательность действи: set the cluster, set the namespace, set the pod... И все это происходит в консоли, используя kubectl - консольная утилита для управления k8s кластерами. Мне настолько это вдолбилось что я решил это автоматизировать. У меня уже был интересный проект автоматизации ssh подключений (sshto), не долго думая, я взял его за основу и написал kui. Это bash скрипт, dialog обёртка для kubectl. У диалога есть приятная фича присваивать горячку каждому пункту меню по первому символу. Это очень удобно, в результате весь k8s кластер оказывается у вас на кончиках пальцев.

Привет Habr! Меня зовут Андрей, системный администратор в электрических сетях, со всеми вытекающими — сети, сервера, пользователи, программы. Как и у всех — какие то скрипты на python для сбора инфы с активки, ежедневного бэкапа конфигов, задач «а добавь вот этот IP в ACL на все устройства»

Везде использую свой модуль для работы с файлами конфигурации. Вы скажете OmegaConf, Dynaconf, да и PYAML никто не отменял. Не торопитесь. Я попросил AI сравнить и воодушевился — а вдруг мой велосипед будет кому то полезен?

В 2024 году некоторые эксперты считали, что Intel находится на пороге краха из-за утраты былых позиций на рынке процессоров. И действительно, акции компании потеряли более половины своей стоимости за прошлый год. Однако, несмотря на сложности, компания продолжает инвестировать в новые направления. В феврале 2025 года Intel представила новые сетевые адаптеры серии E830, работающие на скоростях до 200 Гбит/с и шине PCIe 5.0. И это лишь часть масштабной стратегии компании по укреплению позиций в сетевой инфраструктуре.

Разбираемся, как Intel строит собственную экосистему сетевых решений — от адаптеров до процессоров с интегрированным Ethernet. Поговорим о том, где Intel преуспевает, а где пока отстает от NVIDIA и Broadcom и какие шаги компания предпринимает, чтобы изменить баланс сил на рынке.

Привет! Меня зовут Максим Рыбалко, я директор по управлению проектами в Т1 Иннотех. В современном цифровом мире DDoS-атаки превратились из теоретической угрозы в ежедневный вызов для бизнеса. В этой статье я не только расскажу о базовых принципах защиты, но и поделюсь реальными случаями из практики, распространёнными ошибками и техническими решениями, которые мы применяем.

HA - как много в этом слове: Автоматический перенос виртуальных машин в кластере. 8 секунд и, например, сервер терминалов сменил место жительства совместно со всеми своими предустановленными программами - в другую серверную.
И ... оставил аппаратные лицензии и ЭЦП, заботливыми руками проброшенные в виртуалки, тоскливо торчать из, возможно, погибшего железа.

Джон Такер помогает разобраться с ключевыми аспектами управления ресурсами CPU в Kubernetes. Он объясняет разницу между запросами и лимитами, показывает их влияние на производительность приложений и делится практическими советами по настройке контейнеров. Если хотите улучшить работу кластеров, эта статья станет вашим гидом.

Статья рассматривает внедрение Open Policy Agent (OPA) для управления авторизацией в кластерах Apache Kafka на bare metal‑серверах.

В рамках статьи проанализированы ограничения стандартных ACL и предложено решение на основе Open Policy Agent (OPA), обеспечивающее декларативное управление доступом через Policy as Code (PaaC). Особое внимание уделено обновлению OPA Kafka Plugin: создан pull request, в котором устранены уязвимости привносимые в OPA библиотекой Guava и реализован переход на более производительную библиотеку Caffeine. Описан процесс интеграции OPA с Kafka, включая автоматизацию доставки политик через Bundle API и S3-хранилище.

В статье рассказываем, что такое Ansible и как инструмент может применяться в проектах DWH: от автоматического развертывания и настройки компонентов до восстановления после сбоев и централизованного управления параметрами.

Сравниваем Ansible с другими инструментами для автоматизации управления инфраструктурой: Puppet, Chef, SaltStack.

Посмотрим, как устроен современный TLS-сертификат со "сверхкоротким" сроком действия. В статье описано значение основных полей и ряд неочевидных особенностей, с этими полями связанных - формат серийного номера, SCT-метки и другие занимательные элементы.

Как получить от мониторинга уверенность, что ИТ-инфраструктура работает как надо? В этойстатье разберемся, как устроена работа с метриками в Monq: от их сбора и автоматической привязки к контекстным элементам до создания кастомных метрик и контроля качества покрытия. Поговорим о том, как быть уверенным, что система действительно «зеленая» — а не делает вид,что у вас все в порядке. А в конце статьи вас ждет видео с конкретным примером работы с метриками от А до Я.

Всем привет! Это снова Саша Басун — системный администратор «Петрович-Теха». Я пришёл поделиться решением проблемы, которая периодически встречалась мне раньше. Правда, потребность в её решении не была критичной, так как затрагивала минимум пользователей.

Другое дело, когда проблема появляется уже у десятка, а то и у сотни пользователей. Здесь без логичного решения уже не обойтись. Так произошло и в этот раз, но давайте по порядку. Все началось с ухода эпохи Skype и с Windows, не видящего корпоративный софтфон.