Windows 10 упорно не видит *nix шары. Уже и SMB1 компонент включили, и wins с local master роли самбе выделили - тишина. При попытке в Проводнике увидеть соседний хост с samba получаем только локалхост windows.
Проблема оказалась в том, что последние редакции Windows 10, и, в особенности, Windows 11, более не используют NetBIOS определение соседей, или обзор сети. Теперь - только Web services.
И да, Avahi не поможет.
Решение оказалось смешным до безобразия:
на машину с samba ставим wsdd или wsdd2 (форк от Netgear на С)
на Windows отключаем (если включали) компонент SMB1 и разрешаем Network Discovery
На днях опубликовал на GitHub свой скрипт 2013 года, который наполнял с ИБП Ippon Smart Winner 750 базу данных IBM DB2 данными по напряжению сети (за каждую секунду в течение года, по результатам наблюдений скорректировал уставки на реле напряжения, их безопасность для техники подтвердилась при отгорании нуля), обновлял статус моего DynDNS клиента по данным с роутера, запускал и останавливал виртуальную машину VMware Player (там у меня крутилась openSUSE с сайтом на Apache/Django) по расписанию и когда в планировщике BeholdTV была запланирована запись кабельного телевидения (это было необходимо, поскольку видео захватывалось в .asf/x264 - crf18/AC3 без использования графического ускорения и на всё ресурсов не хватало), следил за качеством ADSL линии. А сегодня дополнил ещё рядом скриптов: в 2014 перенёс сайт на Raspberri Pi (Arch Linux ARM) и там стал захватывать IPTV видео. Про захват у меня на Дзене можно почитать, а скрипы создания оглавления и некоторого контроля версии файлов (WSH/JS) опубликовал на GitHub здесь же. Также скрипты по установке времени и некоторой оптимизации скорости отклика сайта, мониторинга доступности посредством Online Domain Tools. Ещё дополнил своими Windows скриптами по работе с СУБД IBM DB2 Express-C и её оптимизации по книге "Best practices Tuning and monitoring database system performance" (она тоже выложена в соответствии с лицензией). Изначально не включил библиотеку RGraph для построения графиков, теперь выложил под лицензией MIT 2013 года.
Группа исследователей из Грацского технического университета разработаламетод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.
Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.
SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.
Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.
Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.
Проект основан на пакетной базе Debian, поддерживает только работу в консоли, а также содержит большую подборку утилит для нужд сетевых инженеров и системных администраторов. В состав дистрибутива входит более 600 пакетов со всевозможными утилитами. Размер iso-образа проекта составляет 498 МБ.
В новой версии Finnix внесены такие изменения и доработки:
пакетная база синхронизирована с репозиториями Debian;
ядро Linux обновлено до ветки 6.8;
в состав включён пакет libc6-i386 для запуска некоторых 32-разрядных исполняемый файлов в 64-разрядном окружении Finnix;
добавлена опция командной строки ядра '0', действие которой аналогично скрипту locale-config, но на начальной стадии загрузки;
для сборки релиза задействована CI-платформа GitHub Actions.
В начале июля состоялся релиз проекта FreeRDP 3.6, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft.
Открытый проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows.
Исходный код проекта опубликован на GitHub и распространяется под лицензией Apache 2.0.
значительно повышена скорость декодировщика при использовании различных gfx-кодеков;
добавлена экспериментальная поддержка расширения RDP-протокола "MS-RDPECAM" (Remote Desktop Protocol: Video Capture Virtual Channel Extension), предназначенного для передачи данных видео от клиента RDP на сервер RDP;
предложена экспериментальная реализация клиента, переведённого на библиотеку SDL3;
Разработчики сообщества Fedora вынесли на обсуждение вопрос по поводу удаления Python 2.7 из 41 версии дистрибутива проекта. Фактически из коробки в Fedora 41+ не будет Python 2, кроме PyPy.
Это предложение будет реализовано только в том случае, если оно будет одобрено руководящим комитетом по разработке Fedora.
Пакет Python 2.7 с интерпретатором Python версии 2.7 оставался в дистрибутиве Fedora после окончания выпуска исходной версии (01.01.2020) только для того, чтобы пользователи Fedora могли протестировать своё программное обеспечение на основе версии Python, поставляемой в RHEL 7, CentOS 7 и RHEL 8 и для поддержки остальных пакетов, которые не удалось портировать.
Проект Fedora 41 выйдет в октябре 2024 года, почти через 5 лет после окончания выпуска Python 2.
23 апреля 2024 года разработчики проекта Fedora выпустили стабильную сборку проекта Fedora Linux 40. Релиз Fedora Linux 39 состоялся 7 ноября 2023 года, спустя 20 лет и 1 день после запуска проекта по выпуску популярного дистрибутива Linux.
Несмотря на то, что те, кому сильно надо уже прочитали https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/ я хочу кратко изложить не суть уязвимости (которая кстати требует больших ресурсов для реальной эксплуатации на 64-битных ОС), а то, как конкретно закрыть уязвимость CVE-2024-6387 на AlmaLinux 9.
Не затронуты сервера AlmaLinux 8! Поэтому на них делать ничего на надо!
На серверах AlmaLinux 9 нужно выполнить команду: sudo dnf --refresh -y upgrade openssh
Убедиться в том, что все верно выполнилось можно с помощью команды: rpm -q openssh Ищем в ответе строку openssh-8.7p1-38.el9.alma.2 – должно быть именно alma.2
По итогу разбора полетов хочу заметить что фикс AlmaLinux выпустили быстрее чем, собственно, основной поток RHEL (CentOS Stream/RHEL update).
Выпуском занимался специально созданный для подобных случаев управляющий комитет ALESCo, который и позволил закрыть проблему быстрее всех (на мое удивление отметились еще и Rocky Linux – они быстро среагировали, но там процесс оказался более замудренный – кому интересно – вот ссылка).
На днях вышел из строя ИБП. Переключился на стабилизатор. Было уже. До техники APC стоял ИБП Ippon Smart Winner 750. Мониторил напряжение. Сохранял в базе данных SQL сервера IBM DB2 Express-C 10.5 данные за каждую секунду и хранил в течение года. Это помогло выставить уставки на реле напряжения и нормально пережить несколько отгораний нуля без потерь для техники. Скрипты соответствующие опубликовал сегодня на GitHub у себя. При работе от стабилизатора приходилось потом чинить неоднократно SQL базу данных, благо у меня было настроено журналирование в "Архивном" режиме, а сама база данных периодически тестировалась на наличие повреждений. Сложнее с остальной частью данных на компьютере: в NTFS принято частичное журналирование и внезапное отключение ведёт к необходимости решать, восстанавливать ли из бэкапа или соглашаться с тем, что возможно какие-то повреждения будут не сразу обнаружены и могут вызвать проблемы с дальнейшим ремонтом. Чуть раньше такой же пост на Дзене у себя опубликовал.
Представлен выпуск дистрибутива SysLinuxOS 12.4, построенного на пакетной базе Debian 12 и нацеленного на предоставление загрузочного live-окружения, оптимизированного для системных интеграторов и администраторов.
Для загрузки проекта подготовлены сборки с рабочими столами GNOME (4,8 ГБ) и MATE (5 ГБ). Окружение работает в Live-режиме, но поддерживает и установку на диск при помощи инсталлятора Calamares.
В новом выпуске ядро Linux обновлено до версии 6.7, а пакетная база синхронизирована с Debian 12.4. Также улучшена организация меню в GNOME и MATE.
В состав SysLinuxOS 12.4 входит подборка предустановленных приложений для мониторинга и диагностики работы сети, туннелирования трафика, запуска VPN, организации удалённого доступа, обнаружения вторжений, проверки безопасности, симуляции работы сетей и анализа трафика, которые можно использовать сразу после загрузки дистрибутива с USB-накопителя.
Среди входящих в поставку SysLinuxOS 12.4 есть такие приложения и инструменты: Wireshark, Etherape, Ettercap, PackETH, Packetsender, Putty, Nmap, GNS3, Lssid, Packet Tracer, Wine, Virtualbox, Teamviewer, Anydesk, Remmina, Zoom, Skype, Packetsender, Sparrow-Wifi, Angry Ip Scanner, Fast-cli, Speedtest-cli, ipcalc, iperf3, Munin, Stacer, Zabbix, Suricata, Firetools, Firewalk, Firejails, Cacti, Icinga, Monit, Nagios4, Fail2ban, Wireguard, OpenVPN, Firefox, Chrome, Chromium, Microsoft Edge и Tor Browser.
Вышел релиз специализированного дистрибутива Tails 6.4 (The Amnesic Incognito Live System) на пакетной базе Debian 12 с рабочим столом GNOME 43.
Проект предназначен для анонимного выхода в сеть с помощью системы Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения данных пользователя в режиме сохранения между запусками применяется шифрование. Для загрузки доступен ISO-образ (1 ГБ), способный работать в Live-режиме.
обеспечено сохранение на USB-накопителе (в свободных секторах за пределами постоянного хранилища Tails) случайного seed-значения, используемого при инициализации пула энтропии для генератора псевдослучайных чисел на раннем этапе загрузки, на котором доступных источников энтропии может оказаться недостаточно для качественной генерации случайных чисел для криптографических нужд или когда необходимо избавиться от задержки на накопление энтропии (сохранённое перед завершением работы случайное число помогает восполнить недостаток энтропии при следующей загрузке).
осуществлён переход на использование адреса с HTTPS вместо onion-адреса для обращения к APT-репозиториям Debian и Tails. Это повысило надёжность автоустановки выбранных пользователем доппрограмм (Additional Software) при запуске Tails.
решены проблемы с разблокировкой области накопителя, предназначенной для постоянного хранения данных (Persistent Storage).
В нулевые я ставил на заводы телекоммуникационное оборудование. Как правило УПАТС (учрежденческо-производственная АТС). Заводил знакомства не только со связистами, но и снабженцами, бухгалтерами, логистами.
До сорока контактных лиц на каждом предприятии. Многие из них считали меня айтишником и иногда просили им помочь. В этом посте я постарался собрать несколько курьезных случаев.
Мужчина из конструкторского бюро поймал вирус. Позвонил мне. Я уже улетал, сидел в аэропорту. — А! Я знаю как мы поступим... — сказал он. — Как? — спросил я. — Сейчас, погоди. Ты же не торопишься? — Нет, я в зале ожидания. — Ага. Так. Все. Я тебе его переслал. Посмотри что с ним можно сделать.
На Уралмаше я познакомился с поварихами. Они приходили раньше всех и кормили меня яичницей, потому что я «командировашный». Однажды разговорились, я сказал, что у завода в планах замена телефонной станции. — Так ты телефонист? — спросила одна из них. — Нет, скорее айтишник. — ответил я. — О! Почини нам микроволновку.
Бухгалтер жаловалась на внука, что он «испортил интернет». Пообещала борщ, если я починю. Жила близко. В один из дней я освободился пораньше и мы пришли в квартиру, где меня ждал внук, лет 12. Он пытался объяснить, что бабушка должна что-то оплатить, а бабушка грозилась что-то рассказать матери и уверяла, что все оплатила. Ситуация прояснилась, когда я прошел в комнату и увидел модем, подключенный к телефонной сети. Автоответчик в телефоне объяснил бабушке, что внук не виноват и маме его можно не сдавать.
В части моделей беспроводных маршрутизаторов D-Link экспертами по ИБ выявлен бэкдор (CVE-2024-6045), позволяющий неаутентифицированному пользователю из локальной сети активировать на устройстве сервис telnet, предоставляющий доступ к системе с правами администратора, используя логин и пароль, сохранённые в прошивке.
Исследователи выяснили, что этот сервис включается через обращение к устройству по специальному URL, доступному без прохождения аутентификации. Пароль можно определить через анализ содержимого общедоступных прошивок. Предполагается, что бэкдор использовался для автоматизации тестирования устройств на этапе производства.
Согласно данным OpneNET, критическая проблема затрагивает модели устройств D-Link E15, E30, G403, G415, G416, M15, M18, M30, M32, M60, R03, R04, R12, R15, R18 и R32. Уязвимость CVE-2024-6045 устранена в обновлении прошивки 1.10.01 для моделей G403, G415, G416, M18, R03, R04, R12, R18, а также в прошивке 1.10.02 для моделей E30, M30, M32, M60, R32 и в прошивке 1.20.01 для моделей E15 и R15.1.10.02 и 1.20.01.
В сети анонсирована продажа критической уязвимости 0-day для китайских камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.
Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.
За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения продавец просит $400 тыс. При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC для теста.
Всем DevOps! Однажды один из наших клиентов обнаружил, что резервные копии ClickHouse, которые он хранит в S3 провайдера CROC, не очень-то и шифруются. Была поставлена задача: настроить шифрование бэкапов.
В своей новой статье Николай, наш DevOps-инженер, показал, как мы это сделали. Он разобрал основные методы шифрования данных на стороне сервера в Amazon S3 — SSE-C, SSE-KMS и SSE-S3, расписал плюсы и минусы работы с clickhouse-backup и продемонстрировал, как легко восстановить данные из шифрованных бэкапов.
💻 Если ещё не читали, то нажмите сюда, чтобы начать.
Любите бюджетные коммутаторы? Приглашаем на терапию для сетевиков 20 июня
На юбилейном митапе Selectel Network Meetup#10 создадим safe space для обсуждения дешевых коммутаторов: поделимся позитивным опытом и болью. Расскажем, как выглядит правильная TCP-сессия и почему что-то может пойти не так. А также откроем всю правду о Wi-Fi 😉
Приглашаем в офис Selectel всех, кто хочет присутствовать лично. А для участников из других городов организуем трансляцию встречи.
Темы докладов:
защита от SYN-flood,
заблуждения о Wi-Fi,
терапевтическая сессия: как поставить дешевый коммутатор и перестать беспокоиться.
Также вы сможете узнать подробнее про сетевой департамент Selectel и историю развития нашего Wi-Fi 🌐
Выпущенная HP в мае 2024 года версия прошивки BIOS для ноутбуков серий ProBook и EliteBook, как выяснилось, на практике способна превратить устройство в бесполезный «кирпич».
Производитель продвигал неудачный апдейт через службу Windows Update, фирменное приложение HP Support и официальный сайт компании.
Пострадавшие от неправильной прошивки пользователи утверждают, что обновление, выводящее ноутбуки из строя, установилось автоматически и без их согласия.
HP знает о потенциальной проблеме с недавно выпущенным обновлением BIOS, которая может повлиять на HP ProBook x360 435 G7, HP ProBook 445 G7, HP ProBook 455 G7, HP EliteBook 835 G7, HP EliteBook 845 G7 и HP EliteBook 855 G7. Мы продолжаем исследовать проблему и тесно сотрудничаем с затронутыми клиентами. Клиентам, которые могли столкнуться с этой проблемой, следует обратиться в службу поддержки HP.
