Надысь пил пиво, и была мне мысль. Если у нас есть юзвера, и они сами себе придумывают пароли, а мы им устанавливаем ограничения типа "8 знаков и обязательно с цифрами" - то значимая часть этих юзеров будет придумывать пароль, минимально подходящий под эти правила. Таким образом, если мы опасаемся брутфоса (а зачем ещё нужны сложные пароли?) а атакующему нужно сбрутить не конкретного юзверя, а хоть кого-нибудь, то ограничения пойдут атакующему на пользу.
Стоит минимальная длина 6 знаков - перебираем только 6 знаков и переходим к следующему пользователю.
Требуются обязательно буквы и цифры - перебираем варианты с 1-2 цифрами в конце, переходим к следующему.
Требуются буквы, цифры, знаки препинания, не менее 4-х разных видов - это вообще лафа. Ставлю свою недопитую бутылку пива, что хоть у одного юзера будет пароль ABCD1234!@#$. Генерируем список тупых паролей под правила и брутим только по нему.
Всё сказал. Что делать с этой мыслью я не знаю, так что нате вам её.
Подборка обучающих материалов по Docker и Kubernetes
Привет, Хабр! Сегодня пятница, поэтому я снова со своей нерегулярной подборкой полезных материалов для начинающих специалистов. На этот раз несу статьи о Docker и Kubernetes. Как обычно: все бесплатно, без регистрации и смс. Читайте и практикуйте.
Первые шаги в Kubernetes
Здесь 12 статей примерно на два часа чтения. Будет полезно, если нужно освоить базу: что такое K8s, какие задачи помогает решить, основные понятия, с чего начать, как работать с контейнерами и настроить мониторинг.
Docker с нуля: как работают контейнеры и зачем они нужны
Эта подборка из шести статей — ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны для начинающих. На полное изучение уйдет менее двух часов.
Основы безопасности в Docker-контейнерах
Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен.
Если вы изучаете базы данных или давно не работали с ними и хотите проверить знания, приглашаем пройти наш новый квиз. Ответьте на несколько теоретических вопросов и попробуйте расшифровать SQL-запросы — в конце получите промокод на 1000 бонусов в панели Selectel.
Кажется я опять удалил бэкап из бакета... А нет, у меня ж стоит блокировка 😮💨
Добавили в S3 новую функцию — блокировку объектов (Object Lock). Теперь можно зафиксировать, или по-айтишному — «залочить» версии объектов так, что их нельзя удалить или изменить в течение заданного времени. Даже админу бакета.
👌 Идеально для архивов, резервных копий и важных логов.
Есть несколько режимов:
GOVERNANCE — «админ может удалять, а другие нет»
Объекты защищены от случайных действий, но пользователи с особыми правами могут их удалять в любой момент
COMPLIANCE — «тут и админ бессилен»
Объекты остаются нетронутыми до конца срока блокировки, даже если у вас админские права
Без глобальной защиты — «по дефолту»
Блокировка версий объектов не будет устанавливаться в бакете
Многим знаком Zabbix, помогающий мониторить и отслеживать состояние сетевых узлов, серверов и сервисов. Этот инструмент представляет собой open-source систему, которая поддерживает сбор метрик с различных устройств, анализ данных и оповещение при возникновении проблем. Благодаря своим функциям Zabbix позволяет автоматизировать мониторинг, гибко управлять конфигурациями и интегрировать сторонние решения.
А однo из ключевых инструментов — использование шаблонов, работа с которыми упрощает отслеживание и контроль сетевых узлов и серверов. Шаблоны помогают быстро настраивать группы хостов, синхронизировать мониторинг и минимизировать ручную работу. Подробнее о работе с пользовательскими шаблонами в Zabbix, их настройке и привязке к хосту рассказали в базе знаний Рег.облака.
Митап от разработчика СУБД Tantor Postgres и машин баз данных Tantor XData пройдет в Москве. Это отличный повод встретиться для всех, кто интересуется развитием российских СУБД и будущим сферы управления корпоративными данными.
Новая версия платформы Tantor — ведущего enterprise-решения для администрирования и мониторинга любых БД на основе PostgreSQL;
Новинки СУБД Tantor Postgres для более высокой производительности и защищённости данных;
Инструментарий для управления интеграциями и загрузкой данных, осуществления миграций с минимумом даунтайма;
Особое внимание будет уделено Tantor XData — первой российской машине баз данных от вендора СУБД, созданной для самых сложных промышленных задач, высоконагруженных защищённых систем и крупномасштабной аналитики в стратегически важных отраслях.
Митап пройдет 19 сентября 2025 г. на 40-м этаже башни Mercury Space по адресу: Москва, 1-й Красногвардейский проезд, 15. Регистрация участников стартует в 12.00.
Участие бесплатное, требуется предварительная регистрация.
Собрали подробную инструкцию по защите приложений — рассказываем, что такое WAF (Web Application Firewall) и как он функционирует. WAF — это специальный файервол для защиты сайтов, мобильных приложений и API от кибератак и различных угроз. Решение представляет собой фильтр, который отслеживает и проверяет весь входящий и исходящий HTTP/HTTPS-трафик и преждевременно блокирует подозрительные запросы. Сервис можно установить прямо на сервере, в сети компании или в облаке.
В основе файервола лежат заранее заданные правила, по которым он определяет безопасность запроса и внимательно изучает ключевые части HTTP-коммуникации:
GET-запросы, с помощью которых пользователь получает данные от сервера;
POST-запросы, которые отправляют данные на сервер и могут менять его состояние;
PUT-запросы, использующиеся для обновления или создания данных;
DELETE-запросы, предназначенные для удаления данных.
Существует три основных вида WAF-решений: сетевой, хостовый и облачный. Подробнее о каждом из них, а также о возможностях защиты приложений читайте в базе знаний Рег.облака.
С крутейшей новости — мы добавили возможность создавать неограниченное число дополнительных пользователей в S3, чтобы вы не скучали в своем бакете :)
Что входит в фичу:
➖ Настройка индивидуальных прав для пользователей ➖ Управление добавленными пользователями из бакета и из общего раздела ➖ Возможность сброса ключей доступа
Юзкейс 1: Можно выдать одному сотруднику доступ для просмотра, а другому — полное управление конкретным бакетом.
Юзкейс 2: Если у вас есть приложение, которое работает с S3, вы сможете завести для него отдельного пользователя с ограниченными правами.
Подключить допов можно в виджете на дашборде бакета → потом добавить в бакет через вкладку «Пользователи».
Как проверить, работает ли ECC-память в Windows: техническое руководство для системных администраторов
Введение
Недавно столкнулись с интересной задачей: нужно было убедиться, что ECC-память корректно функционирует на рабочей станции на базе AMD Ryzen. Как оказалось, стандартные методы проверки, которые находятся в топе поисковой выдачи, часто дают неверные результаты или попросту не работают в современных версиях Windows. В этой статье расскажем о проверенном методе, который сэкономит вам время и поможет точно определить статус ECC в вашей системе.
Почему стандартные методы не работают?
Во многих статьях в интернете для проверки ECC рекомендуется использовать команду wmic или PowerShell-скрипты. Однако у этих методов есть серьёзные ограничения:
Старые методы с wmic больше не работают в современных версиях Windows
Команда PowerShell Get-WmiObject Win32_MemoryDevice часто даёт неоднозначные результаты даже в системах с поддержкой ECC (включая Intel Xeon и AMD Threadripper с RDIMM)
Windows не предоставляет информацию о статусе ECC в диспетчере задач, что, честно говоря, странно для операционной системы, позиционируемой как корпоративное решение
Проблема в том, что Win32_MemoryDevice является производным от CIM_PhysicalMemory и предоставляет рассчитанную версию данных, которая может некорректно отображать определенные устройства. Для получения точной информации необходимо запрашивать данные напрямую из DMI/SMBIOS.
Проверка ECC с помощью CPU-Z: пошаговая инструкция
Шаг 1. Установка и запуск CPU-Z
Скачайте и установите последнюю версию CPU-Z с официального сайта. После запуска программы вы увидите стандартный интерфейс, но если перейти на вкладку «Память», то информации об ECC вы не найдёте.
Вкладка памяти CPU-Z
Шаг 2. Создание отчёта
Вот ключевой момент, о котором многие не знают: нужно нажать кнопку «Инструменты» в нижней части программы и выбрать «Отчет». Для удобства анализа рекомендую выбрать текстовый формат вывода вместо HTML.
Шаг 3. Анализ отчёта
В созданном отчёте найдите разделы:
Массив физической памяти DMI
Устройство памяти DMI
Выполните поиск по ключевому слову «исправление». Возможные значения:
Разница в 8 бит — это как раз те биты, которые используются для коррекции ошибок. Если вы видите такую разницу, но в поле коррекции указано «Нет», это может означать, что ECC поддерживается аппаратно, но не активирована в BIOS/UEFI.
Альтернативный метод: команда wmic
Более простой способ — использовать следующую команду в командной строке:
cmd
1
wmic memphysical get memoryerrorcorrection
Эта команда возвращает код, соответствующий типу установленной памяти:
0 (0x0) Зарезервировано
1 (0x1)Другое
2 (0x2)Неизвестно
3 (0x3)Нет коррекции
4 (0x4)Паритет
5 (0x5)Однобитовая ECC
6 (0x6)Многобитовая ECC
7 (0x7)CRC
Важные технические нюансы
Качество модулей ECC. Не все модули с маркировкой ECC обеспечивают надежную коррекцию. Например, модули с тремя линиями над логотипом Micron — это чипы, прошедшие электрический, но не механический тест. На такие микросхемы не распространяется гарантия, и они рекомендуются для использования в менее критичных приложениях.
DMIDecode как альтернатива. Для более глубокой диагностики рекомендуется использовать утилиту DMIDecode, которая предоставляет подробную информацию на основе данных SMBIOS. Это особенно полезно для серверных систем.
Проверка через BIOS/UEFI. В некоторых случаях информация об активации ECC доступна только в BIOS/UEFI. Обязательно проверьте настройки перед диагностикой в ОС.
Заключение
Проверка работы ECC-памяти — критически важный этап при настройке систем, в которых важна надёжность данных. Хотя Windows не предоставляет эту информацию в стандартном интерфейсе, использование CPU-Z или правильных команд wmic позволяет точно определить состояние ECC.
Мобильное приложение «Первой Формы»: новая версия и больше функций для быстрой работы
Первая версия мобильного приложения «Первой Формы» вышла 10 лет назад. За эти годы в нём появилось много функций, которые позволяют общаться с коллегами, работать с задачами, просматривать отчёты, контролировать сроки, подписывать документы, заполнять чек-листы и многое другое в любом месте и на ходу.
Юбилей мы отмечаем новым релизом, названным в честь Георгия Гамова — советского и американского физика-теоретика, который создал концепцию реликтового излучения Вселенной. Его считают одним из главных подтверждений теории Большого взрыва — излучение позволяет узнать, как была устроена Вселенная в момент своего появления.
«За годы существования мобильного приложения мы решили много задач: добавляли функции, меняли дизайн. В процессе появился технический долг — старое API, программные модули, требующие глубоко рефакторинга, необходимость поддержки новых версий операционных систем. Технический долг можно сравнить с реликтовым излучением — он равномерно заполняет продукт, по нему можно отследить этапы эволюции, его можно игнорировать годами. Но чтобы развитие приложения проходило легче, с техническим долгом нужно работать», — комментирует Алексей Матвеев, директор по мобильным технологиям «Первой Формы».
В версии «Гамов» мы сосредоточились на уменьшении технического долга, обновлении архитектуры и новых функциях. Вот что нового появилось в этой сборке.
Общие обновления
Теперь можно быстро искать и добавлять пользователей в тексты комментариев для упоминания через значок @.
Добавить учётную запись в приложение можно, отсканировав QR-код в профиле веб-версии.
Если переходы между статусами задачи скрыты (например, они нужны для автоматизаций), в мобильном приложении они тоже не отобразятся.
В списке задач теперь отображаются комбинированный индикатор всех и закрытых подзадач .
В актуальной сборке веб-версии «Первой Формы» есть возможность добавлять поля в системную «шапку» задачи, чтобы они отображались над блоком вложений. В мобильной версии тоже реализовали эту функцию.
Перешли на новое API для ускорения работы списков задач.
Обновили ВКС-модуль, чтобы работал ещё стабильнее.
Вместе с коллегами Selectel и экспертами из других компаний будем обсуждать вопросы, которые волнуют всех сетевых специалистов. Подключайтесь к Selectel Network MeetUp!
Программа
18:05-18:45 — Начнем вечер с доклада технического директора Selectel Кирилла Малеванова. Поговорим о переподписке в сетях CLOS’a, обсудим, зачем она нужна и какое значение коэффициента возможно в современных сетях.
18:45-19:25 — Передадим слово руководителю RnD Дмитрию Чигишеву. Присмотримся к разным открытым ОС и их архитектуре. Выясним, зачем нужен SAI, если есть SDK.
19:50-20:30 — После небольшого перерыва перечислим, что нужно знать при переходе на 400GE. Вместе с сетевыми инженерами Selectel Евгением Никифоровым и Алексеем Антоновым обсудим опыт работы с 400GE-решениями.
В SpaceWeb усилили инфраструктуру связи и отказоустойчивость хостинг-систем
Сегодня делимся сетевыми новостями. Подключили в SpaceWeb дополнительного оператора и запустили пиринг через PiterIX. Теперь у нас есть два независимых магистральных канала связи и резерв. Оба защищены от DDoS-атак, а трафик направляется по наиболее короткому маршруту до пользователя. Если один канал даст сбой, то второй мгновенно берет на себя 100% нагрузки.
Также подключились к PiterIX — одной из крупнейших точек обмена интернет-трафиком в России:
500+ участников;
14,5 Тбит/с пропускной способности;
узлы в 15 городах РФ.
Трафик от провайдеров, подключенных к этим точкам, идет в SpaceWeb напрямую, минуя лишние промежуточные сети.
«Почта Банк» перевел критическую инфраструктуру на zVirt
«Почта Банк» заместил решение вендора VMware, мигрировав ИТ-инфраструктуру, в том числе критический контур, на платформу zVirt. Решение Orion soft обеспечило компании быструю миграцию более 2000 виртуальных машин.
«Почта Банк» — один из крупнейших банков России с государственным участием. Компания ответственно выполняет поручения регуляторов, связанные с импортозамещением ПО для ИТ-инфраструктуры, в том числе КИИ. Для проекта по импортозамещению виртуализации специалисты банка разработали чек-лист из более чем 20 критериев, которым должно было соответствовать российское решение.
Наиболее критичным для «Почта Банка» было наличие функциональности для гибкого управления ресурсами кластера, аварийного перезапуска виртуальных машин, кластеризации, управления доменами хранения.
Помимо этого банку было важно наличие функциональности для резервного копирования и восстановления виртуальных машин, а также возможность интеграции механизмов бэкапа с используемой в компании СРК. Также специалисты компании оценили zVirt с точки зрения удобства администрирования.
На сегодняшний день внедрение zVirt в «Почта Банке» завершено. Общий объем инсталляции достигает 80 хостов, идет активное тиражирование решения. Решение от Orion soft является единственным решением по виртуализации в критическом контуре компании.
«Среди функциональности zVirt особенно актуальным для нас оказался мигратор с VMware. В нашем случае речь идет о тысячах виртуальных машин, и на механическую работу по их пересозданию мы потратили бы слишком много ресурсов. Кроме того, у нас были достаточно жесткие требования к техподдержке, к наличию SLA. Коллеги из Orion soft оправдали наши ожидания — они оперативно подключаются к задачам и помогают решать даже те вопросы, которые находятся на стыке виртуализации и других систем», — комментирует Михаил Комстачев, директор по инфраструктуре и поддержке ИТ-сервисов «Почта Банка».
Рассказываем для новичков, что такое CLI и как ускорить работу с помощью простых команд. CLI (Command line interface) — интерфейс командной строки, который позволяет управлять различными процессами в операционной системе: запуском программы, регулировкой прав доступа, созданием и удалением файлов.
Собрали наиболее часто используемые команды для разных ОС:
Подробнее о возможностях CLI и быстром управлении файлами и папками рассказали в базе знаний Рег.облака — предлагаем использовать новую команду «зайти почитать» :)
Docker долго был самым популярным инструментом контейнеризации, но сейчас все больше сервисов переходит на Podman. Вы уже умеете работать с ним? Тогда проверьте свои знания базовых команд.
Selectel выпустил заключительную часть курса «Системный администратор Linux»
Модули курса выходили постепенно, и недавно вышел последний — теперь обучение доступно целиком. Финальная часть посвящена настройке сетей, управлению пакетами и логами, а также работе с контейнерами.
Курс полностью бесплатный и не привязан к датам — можно изучать материалы в комфортном темпе.
После завершения вы получите сертификат. Как его оформить — рассказываем в последнем уроке.
Amnezia - достаточно удобное приложение, которое позволяет в пару кликов (или тапов смартфона) развернуть VPN-сервер на вашем VPS.
Работает это следующим образом: при старте приложения на смартфоне/ПК вы вводите адрес сервера и данные SSH-подключения: user + password/privatekey (лично у меня подключение по ключу не взлетело). После этого приложение подключается к серверу по SSH и скачивает/настраивает VPN.
Приложение запоминает данные SSH-подключения и в дальнейшем они используются для упрощенного администрирования: добавления/удаления VPN-пользователей, установки/удаления дополнительных компонентов и прочего.
Проблемы начинаются тогда, когда вам по какой-то причине нужно поменять реквизиты SSH-подключения: изменить юзера, заменить пароль/ключ, изменить порт. Приложение Amnezia не предосталяет такой возможности (есть даже открытый feature request). Если вы попробуйте поискать информацию по данной теме, то единственным найденным вариантом будет что-то вроде "удалите сервер и разверните заново", что естественно приведет к тому, что ключи всех VPN-пользователей придется генерировать заново.
Итак, как же изменить пароль (или другой атрибут) без редеплоя VPN-сервера?
Инструкция:
В приложении заходим ⚙️ -> Backup -> Make a backup. Получаем JSON-файл.
JSON-файл содержит все параметры в открытом виде, в т.ч. пароль. Меняем пароль на новый и сохраняем файл.
Заходим ⚙️ -> Backup -> Restore from backup, это действие затирает текущую конфигурацию и устанавливает конфигурацию из файла.
RabbitMQ — брокер распределенных сообщений, разработанный на основе стандарта AMQP (Advanced Message Queuing Protocol). Этот инструмент собирает потоковые данные из нескольких источников, после чего распределяет и маршрутизирует их для дальнейшей обработки. Выбираем брокер сообщений и подробнее знакомим с его возможностями.
Бенефиты RabbitMQ, которые выделяют его на фоне других похожих сервисов:
надежность — все сообщения в RabbitMQ будут доставлены с соблюдением порядка, даже в случае технический сбой;
масштабируемость — может работать с большими объемами данных. Также его можно развернуть не только на отдельном сервере, но и в распределенной среде;
гибкость — поддерживает большое количество сценариев для маршрутизации и распределения сообщений. Это позволяет сочетать программу со многими приложениями.
Как настроить RabbitMQ на трех операционных системах: Ubuntu, Debian и CentOS Stream, а также об основных принципах работы этой технологии — читайте в подробном гайде в базе знаний Рег.облака.
Да, это Артем. Хорошо живет, купается в бассейне, пьет джус 🧃
И запускает Кубер за рубль, чтобы вы смогли его затестить.
Подробности по тарифу:
➖ Полный доступ к интеграциям: внешний балансировщик, сетевые диски, S3 и др. ➖ Без ограничений внутреннего функционала ➖ Можно создать до 3 тестовых кластеров и в каждом до 10 воркер-нод
