Здраствуйте, коллеги. Сегодня делаем базовые конфиги на Palo Alto: NAT для выхода в интернет, лог-форвардинг, security-профили, интерфейсы, роутинг и сервисные роуты. Всё коротко, понятно, с примерами.
Отслеживать доступность сайтов — стандартная задача любого веб-мастера, который обязательно устанавливает такие «мониторы» на свои ресурсы. Он проверяет, какой контент возвращается по запросу: стандартная веб-страница или сообщение об ошибке. Логично поставить такую проверку в ежеминутном режиме с подачей громкого уведомления в случае инцидента (если сайт недоступен).
По сути, проверка доступности ресурса и мониторинг изменений на странице — это одно и то же. Ведь если произошло какое-то изменение — это значит, что ранее недоступный ресурс стал доступным, или наоборот.
Но если мониторинг сайтов сделать удобным и простым, то открываются десятки новых, полезных вариантов использования для обычного человека: отслеживание цен, распродаж, покупка товаров на скидках, бронирование билетов и талонов в поликлинику, появление на Хабре статьи по ключевому слову, мониторинг изменений в файлах PDF, поисковой выдаче Google и многое другое...
Контроллер домена лежит. Терминальные серверы уходят в синий экран один за другим, а триста сотрудников молча смотрят на неработающие АРМ. Это не атака хакеров. Это начался пентест.
К сожалению, такие истории иногда случаются. Один неосторожный запуск эксплойта, слишком агрессивное сканирование в пиковые часы или использование незнакомого инструмента в проде — и вот уже тестирование на проникновение приносит больше реального ущерба, чем гипотетическая угроза.
Меня зовут Дмитрий Калинин, я руковожу отделом по работе с уязвимостями информационных систем в Бастионе, и за годы практики я видел достаточно ошибок. Включая свои собственные.
Дальше расскажу реальные истории о том, как ZeroLogon чуть не уничтожил домен заказчика, как утренний запуск Nmap парализовал офис на несколько часов, и почему некоторые пентестеры могут быть опаснее хакеров. А затем разберем, какие точки отказа в корпоративной сети ломаются первыми и как не превратить аудит безопасности в производственную катастрофу.
Да, я знаю. «Опять статья про WireGuard». Но это не очередное «how-to» на 5 строк. Это — история боли, паранойи и, наконец, автоматизации. Это история о том, как мы перестали «обслуживать» VPN и заставили его работать на нас...
Как‑то я писал статью «Личное облако на Proxmox» где описывал как установить Proxmox разными способами и в целом, что это такое, обещал, что когда то, под настроение опишу продолжение про сетевую часть домашнего облака с сервисами, доступными из интернет на домашнем сервере, вот, пожалуйста
Прошлая статья была посвящена базовой настройке. Что сейчас я имею в итоге, немного изменив то, что делал я получил:
Привет, Хабр! Меня зовут Денис, я руковожу технической поддержкой в одной из крупнейших компаний России. Более 16 лет я работаю в IT, а последние годы занимаюсь управлением поддержки и автоматизацией процессов.
Хочу поделиться нашим опытом перехода на новый ИТ-стек, построенный на полностью российских решениях (Astra Linux, R7 Office, TrueConf и другие), и преодоления всех сложностей. Возможно, кого-то из вас это оградит от пары седых волос и сэкономит сотни часов работы поддержки.
Это мой первый подход в написании статьи, прошу не закидывать тапками. Статья вводная, но, если вам будет интересно, я готов рассказать про каждый инструмент подробнее.
Cloudflare показывает, как превратить метрики в механизм безопасных релизов под глобальной нагрузкой. В основе — Health Mediated Deployments: решения о выкатывании принимаются по SLI/SLO из Prometheus/Thanos, с распределёнными агрегациями на уровне дата-центров, recording rules, бэктестингом инцидентов и адаптивным ограничением параллелизма. Результат — заметно быстрее вычисляются критичные запросы, батчи ускорены примерно в 15 раз, а откаты происходят до того, как проблема успевает разрастись.
Вакансии по пентесту всё чаще требуют не только понимания принципов работы ключевых СЗИ (WAF, EDR, NAC), но и практических навыков их обхода. То же самое касается EDR/AV. В реальных отчётах о кибератаках также регулярно упоминается, как злоумышленники обходят средства защиты и остаются незамеченными.
Предлагаем рассмотреть пару приемов таких обходов и проверить, готовы ли ваши системы защиты к подобным вызовам.
Меня зовут Саша Шилкин, я работаю в Yandex Infrastructure и занимаюсь автоматизацией сети. Сегодня расскажу про обновление конфигурации сетевых устройств и про то, как мы его делаем в нашей команде: как начинали, как менялась конфигурация, какие для этого были предпосылки.
Мы уже рассказывали о задаче автоматического обновления конфигурации на масштабах сети всего Яндекса. В своей статье я поделюсь опытом, как мы решаем эту задачу именно для облачной платформы. Мы обращаемся к накопленному опыту коллег, однако наши сети хоть и похожие, но отличаются в некоторых местах, особенно процессно.
Все инструменты, о которых пойдёт речь, выложены в опенсорс. Если у вас возникнет желание попробовать то, о чём я рассказываю, многое вы сможете повторить самостоятельно. Ну и поскольку в каких‑то деталях наша адаптация инструментов имеет свои особенности — мой рассказ будет интересен всем, кто хочет внедрить ту самую Аннушку из опенсорса с учётом своей ситуации.
Статья написана по материалам моего выступления на nexthop, конференции по сетевым технологиям, — с небольшими дополнениями, которые произошли за год.
В этом году на nexthop 2025 я также расскажу об автоматизации масштабируемой сети для BareMetal‑серверов — так что, если эта тема интересна, заглядывайте к нам 19 ноября.
Первый Docker-образ для моего Go-приложения весил 1.92 GB. Для микросервиса на 100 строк — абсурдно. Решил разобраться, куда именно уходит место и как добиться максимально лёгкого образа.
Народный SIEM Wazuh активно используется специалистами ИБ в различных организациях. Он может собирать и анализировать события безопасности получаемые с источников, генерировать уведомления об инцидентах и строить отчеты. Однако, было бы неплохо, чтобы он еще умел подавать кофе производить оценку конфигурации безопасности.
Оценка безопасности конфигурации — это процесс проверки соответствия всех систем набору предопределенных правил, касающихся параметров конфигурации и разрешенного использования приложений. Одним из наиболее надежных способов обеспечения безопасности ресурсов сети является усиление их защищенности. Таким образом, оценка безопасности конфигурации — это эффективный способ выявить слабые места в ваших конечных точках и устранить их, чтобы уменьшить вероятность атаки.
В Wazuh для этой цели используется специальный SCA-модуль. В данном случае SCA (Security Configuration Assessment) это именно оценка безопасности конфигурации, а не анализ используемых приложением зависимостей (Software Composition Analysis).
Здравствуйте, меня зовут Юрий Юшкевич, я руководитель ИТ-разработки/CTO. В этой статье я расскажу о процессе замены APM-решения в крупной финтех-компании: почему мы ушли с Instana, как выбирали альтернативу и что изменилось после внедрения Proto Observability Platform.
Концепция “Инфраструктура как код” (IaC) стала неотъемлемой частью методологии DevOps. С помощью IaC мы можем без труда развернуть в облаке нужную инфраструктуру. При этом, мы можем развернуть абсолютно идентичные инфраструктуры как для среды разработки, так и для тестирования и для продуктивной среды.
На просторах сети можно встретить большое количество публикаций, посвященных использованию «иностранных» облаков, таких как Amazon, Google и Microsoft. Однако, в текущих условиях использование данных провайдеров практически невозможно. Между тем на российском рынке также есть много интересных игроков. В рамках данной статьи мы посмотрим использование Яндекс Облака. Но для начала давайте разберемся с тем как в принципе реализуется IaC.
Представьте, что данные вашей компании украли злоумышленники и теперь просят баснословный выкуп. Или что вы безвозвратно утратили все свои рабочие и личные архивы — фото, документы, важные файлы.
Чувствуете неприятный холодок? Не бойтесь, в наших историях счастливый финал. Прочитайте их и проверьте, можете ли вы оказаться в подобной ситуации. А еще получите промокод на 1 000 бонусов в панели Selectel.
Было время, когда все было под контролем у небольшой команды админов и всегда можно было спросить — а чье это и для чего. Но времена меняются. Когда у вас несколько тенантов в Cloud Director, с десяток VDC и куча администраторов, каждый из которых делает что хочет, плюс микс из собственных VMware-кластеров и мощностей у провайдеров, разобраться в этой каше без 100 грамм просто нереально. Наливать мы вам, конечно, не предлагаем (на работе все-таки). А вот системный подход тут необходим как воздух.
Эта статья вторая в серии из трех, посвященных FinOps применительно к Cloud Director. В части 1 мы разобрали теоретическую модель тегирования. Теперь посмотрим, как эту модель применить в VMware Cloud Director и как нам в этом помогут metadata.
ИТ-отдел или аутсорсинг — объективный расчет, который поможет понять, в какой момент бизнесу выгоднее делегировать ИТ-задачи, чтобы получить больше компетенций за сопоставимые деньги.
Эта статья для вас — руководители и владельцы малого и среднего бизнеса, которые просто хотят, чтобы ИТ-инфраструктура работала. Если вам надоело гадать, чем на самом деле занят ваш сисадмин, почему команда вечно «в огне», а компьютеры все равно тормозят, — вы по адресу.
Мы не будем грузить вас сложными терминами. Вместо этого мы подготовили практическое руководство, которое поможет понять, в какой момент бизнесу выгоднее нанять команду профессионалов со стороны, а не раздувать собственный штат. Это честный расчет, основанный на опыте работы с сотнями компаний малого и среднего бизнеса.
Что полезного вы найдете внутри:
Проприетарные драйвера NVIDIA для Linux по умолчанию не предполагают возможности соседства нескольких версий в одной файловой системе в классических дистрибутивах. Но эта проблема может быть легко решена в модульных дистрибутивах путем создания отдельных squashfs модулей с разными версиями NVIDIA драйверов.
Таким образом получаем рабочий драйвер NVIDIA сразу после запуска и без дополнительных манипуляций.
Недавно мы в Selectel выпустили новую версию собственного Terraform-провайдера, в которую добавили ресурс для управления выделенными серверами. Теперь при работе с физическими машинами можно использовать все преимущества IaC и управлять гибридной инфраструктурой из единой точки.
Привет, Хабр! Меня зовут Наталья Белоусова, я технический менеджер в отделе развития выделенных серверов Selectel. В этой статье расскажу, как использовать обновленный Terraform при работе с нашими продуктами, и разберу реальный кейс. Материал будет полезен системным администраторам, DevOps-инженерам и разработчикам. Подробности под катом!
Когда все чеки зеленые, а клиентские чаты полыхают — это говорит о том, что где-то команда DevOps свернула не туда.
Рассказываем историю о том, как мы устали от лавины алертов и собрали свой инструмент распределенного внешнего мониторинга. В статье делимся «внутрянкой», как все устроено и тем, какие грабли словили при развертывании системы.
Мониторинг процессов на сервере — ключевой элемент для безопасности и стабильности работы всей системы. Даже если на сервере всего несколько процессов, бывает очень критично вовремя узнавать об их сбоях и недоступности, чтобы своевременно восстановить доступ. Для автоматического отслеживания удобно использовать специализированный под эти задачи сервис, такой как Monit — лёгкий, но при этом мощный инструмент, позволяющий не только отслеживать работу процессов (например, nginx, apache, mysql, postgres, redis, node, java) и перезапускать их автоматически, но и направлять уведомления об этом (например, в Telegram).
