Системное администрирование *

Разработчики сообщества Fedora вынесли на обсуждение вопрос по поводу удаления Python 2.7 из 41 версии дистрибутива проекта. Фактически из коробки в Fedora 41+ не будет Python 2, кроме PyPy.

Это предложение будет реализовано только в том случае, если оно будет одобрено руководящим комитетом по разработке Fedora.

Пакет Python 2.7 с интерпретатором Python версии 2.7 оставался в дистрибутиве Fedora после окончания выпуска исходной версии (01.01.2020) только для того, чтобы пользователи Fedora могли протестировать своё программное обеспечение на основе версии Python, поставляемой в RHEL 7, CentOS 7 и RHEL 8 и для поддержки остальных пакетов, которые не удалось портировать.

Проект Fedora 41 выйдет в октябре 2024 года, почти через 5 лет после окончания выпуска Python 2.

23 апреля 2024 года разработчики проекта Fedora выпустили стабильную сборку проекта Fedora Linux 40. Релиз Fedora Linux 39 состоялся 7 ноября 2023 года, спустя 20 лет и 1 день после запуска проекта по выпуску популярного дистрибутива Linux.

Как фиксить CVE-2024-6387 на AlmaLinux 9.

Несмотря на то, что те, кому сильно надо уже прочитали https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/ я хочу кратко изложить не суть уязвимости (которая кстати требует больших ресурсов для реальной эксплуатации на 64-битных ОС), а то, как конкретно закрыть уязвимость CVE-2024-6387 на AlmaLinux 9.

1. Не затронуты сервера AlmaLinux 8! Поэтому на них делать ничего на надо!

2. На серверах AlmaLinux 9 нужно выполнить команду:
   sudo dnf --refresh -y upgrade openssh

3. Убедиться в том, что все верно выполнилось можно с помощью команды:
   rpm -q openssh
   Ищем в ответе строку openssh-8.7p1-38.el9.alma.2 – должно быть именно alma.2

По итогу разбора полетов хочу заметить что фикс AlmaLinux выпустили быстрее чем, собственно, основной поток RHEL (CentOS Stream/RHEL update).

Выпуском занимался специально созданный для подобных случаев управляющий комитет ALESCo, который и позволил закрыть проблему быстрее всех (на мое удивление отметились еще и Rocky Linux – они быстро среагировали, но там процесс оказался более замудренный – кому интересно – вот ссылка).

На днях вышел из строя ИБП. Переключился на стабилизатор. Было уже. До техники APC стоял ИБП Ippon Smart Winner 750. Мониторил напряжение. Сохранял в базе данных SQL сервера IBM DB2 Express-C 10.5 данные за каждую секунду и хранил в течение года. Это помогло выставить уставки на реле напряжения и нормально пережить несколько отгораний нуля без потерь для техники. Скрипты соответствующие опубликовал сегодня на GitHub у себя. При работе от стабилизатора приходилось потом чинить неоднократно SQL базу данных, благо у меня было настроено журналирование в "Архивном" режиме, а сама база данных периодически тестировалась на наличие повреждений. Сложнее с остальной частью данных на компьютере: в NTFS принято частичное журналирование и внезапное отключение ведёт к необходимости решать, восстанавливать ли из бэкапа или соглашаться с тем, что возможно какие-то повреждения будут не сразу обнаружены и могут вызвать проблемы с дальнейшим ремонтом. Чуть раньше такой же пост на Дзене у себя опубликовал.

Привет, сегодня хочу коротко рассказать про жизненный цикл Docker контейнера.

Жизненный цикл Docker контейнера

1. Создание (Created):

   • Контейнер создаётся с помощью команды docker create.

   • Команда docker run объединяет docker create и docker start.

2. Запуск (Running):

   • Контейнер начинает работать с командами docker start или docker restart.

   • Можно приостановить контейнер командой docker pause и возобновить работу командой docker unpause.

3. Перезапуск (Restarting):

   • Контейнер автоматически перезапускается командой docker restart.

4. Пауза (Paused):

   • Контейнер временно приостанавливается командой docker pause и возобновляется командой docker unpause.

5. Остановка (Exited):

   • Контейнер прекращает свою работу командами docker stop или docker kill.

6. Удаление (Removing):

   • Контейнер удаляется командой docker rm.

Эти этапы помогают понять, как управлять контейнерами и какие команды для этого использовать.

Сохраняйте в закладки, подписывайтесь, ставьте лайки если эта информация была вам полезной.

✉️ Всем привет! Мы запустили собственную email-рассылку о DevOps и системном администрировании.

Что вы найдёте в наших письмах?

1. Эксклюзивные лонгриды на техническую тематику. Как на Хабре, только короче;

2. Понятные чек-листы и туториалы, которыми можно пользоваться;

3. Чил-аут контент с капелькой креатива.

Пишем редко, но с душой и по делу. Отбираем только полезные для вашей работы темы. Прислушаемся, если вам захочется чего-то более специального.

После подтверждения подписки вам на ящик сразу упадёт письмо с лучшими практиками по Kubernetes.

Нажмите сюда, чтобы подписаться. Будем рады каждому подписчику.

​​Хотите перенести инфраструктуру с минимальным даунтаймом? Присоединяйтесь к вебинару «Как мигрировать инфраструктуру в Selectel?»

Расскажем, как предусмотреть все нюансы и сделать переезд в Selectel максимально комфортным для проекта.

На мероприятии вы узнаете:

• о видах, инструментах и сложностях миграции;

• о длительности переноса проекта;

• о зонах и ответственности при миграции;

• о переключении продакшена после переноса;

• о контроле за работой инфраструктуры.

Оставляйте вопросы в форме регистрации — ответим на них в конце вебинара. Авторам самых интересных подарим плюшевых Тирексов 🦖

На мероприятии вы сможете присоединиться к акции «100% скидка на облачные ресурсы на один месяц» и получить типовой план переноса инфраструктуры 🙌

Регистрируйтесь по ссылке →

Представлен выпуск дистрибутива SysLinuxOS 12.4, построенного на пакетной базе Debian 12 и нацеленного на предоставление загрузочного live-окружения, оптимизированного для системных интеграторов и администраторов.

Для загрузки проекта подготовлены сборки с рабочими столами GNOME (4,8 ГБ) и MATE (5 ГБ). Окружение работает в Live-режиме, но поддерживает и установку на диск при помощи инсталлятора Calamares.

В новом выпуске ядро Linux обновлено до версии 6.7, а пакетная база синхронизирована с Debian 12.4. Также улучшена организация меню в GNOME и MATE.

В состав SysLinuxOS 12.4 входит подборка предустановленных приложений для мониторинга и диагностики работы сети, туннелирования трафика, запуска VPN, организации удалённого доступа, обнаружения вторжений, проверки безопасности, симуляции работы сетей и анализа трафика, которые можно использовать сразу после загрузки дистрибутива с USB-накопителя.

Среди входящих в поставку SysLinuxOS 12.4 есть такие приложения и инструменты: Wireshark, Etherape, Ettercap, PackETH, Packetsender, Putty, Nmap, GNS3, Lssid, Packet Tracer, Wine, Virtualbox, Teamviewer, Anydesk, Remmina, Zoom, Skype, Packetsender, Sparrow-Wifi, Angry Ip Scanner, Fast-cli, Speedtest-cli, ipcalc, iperf3, Munin, Stacer, Zabbix, Suricata, Firetools, Firewalk, Firejails, Cacti, Icinga, Monit, Nagios4, Fail2ban, Wireguard, OpenVPN, Firefox, Chrome, Chromium, Microsoft Edge и Tor Browser.

Источник: OpenNET.

Вышел релиз специализированного дистрибутива Tails 6.4 (The Amnesic Incognito Live System) на пакетной базе Debian 12 с рабочим столом GNOME 43.

Проект предназначен для анонимного выхода в сеть с помощью системы Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения данных пользователя в режиме сохранения между запусками применяется шифрование. Для загрузки доступен ISO-образ (1 ГБ), способный работать в Live-режиме.

В новой версии:

• обеспечено сохранение на USB-накопителе (в свободных секторах за пределами постоянного хранилища Tails) случайного seed-значения, используемого при инициализации пула энтропии для генератора псевдослучайных чисел на раннем этапе загрузки, на котором доступных источников энтропии может оказаться недостаточно для качественной генерации случайных чисел для криптографических нужд или когда необходимо избавиться от задержки на накопление энтропии (сохранённое перед завершением работы случайное число помогает восполнить недостаток энтропии при следующей загрузке).

• осуществлён переход на использование адреса с HTTPS вместо onion-адреса для обращения к APT-репозиториям Debian и Tails. Это повысило надёжность автоустановки выбранных пользователем доппрограмм (Additional Software) при запуске Tails.

• решены проблемы с разблокировкой области накопителя, предназначенной для постоянного хранения данных (Persistent Storage).

• обновлены версии Tor Browser и Thunderbird.

Источник: OpenNET.

В нулевые я ставил на заводы телекоммуникационное оборудование. Как правило УПАТС (учрежденческо-производственная АТС). Заводил знакомства не только со связистами, но и снабженцами, бухгалтерами, логистами.

До сорока контактных лиц на каждом предприятии. Многие из них считали меня айтишником и иногда просили им помочь. В этом посте я постарался собрать несколько курьезных случаев.

1. Мужчина из конструкторского бюро поймал вирус. Позвонил мне. Я уже улетал, сидел в аэропорту.
   — А! Я знаю как мы поступим... — сказал он.
   — Как? — спросил я.
   — Сейчас, погоди. Ты же не торопишься?
   — Нет, я в зале ожидания.
   — Ага. Так. Все. Я тебе его переслал. Посмотри что с ним можно сделать.

2. На Уралмаше я познакомился с поварихами. Они приходили раньше всех и кормили меня яичницей, потому что я «командировашный». Однажды разговорились, я сказал, что у завода в планах замена телефонной станции.
   — Так ты телефонист? — спросила одна из них.
   — Нет, скорее айтишник. — ответил я.
   — О! Почини нам микроволновку.

3. Бухгалтер жаловалась на внука, что он «испортил интернет». Пообещала борщ, если я починю. Жила близко. В один из дней я освободился пораньше и мы пришли в квартиру, где меня ждал внук, лет 12. Он пытался объяснить, что бабушка должна что-то оплатить, а бабушка грозилась что-то рассказать матери и уверяла, что все оплатила.
   Ситуация прояснилась, когда я прошел в комнату и увидел модем, подключенный к телефонной сети. Автоответчик в телефоне объяснил бабушке, что внук не виноват и маме его можно не сдавать.

В части моделей беспроводных маршрутизаторов D-Link экспертами по ИБ выявлен бэкдор (CVE-2024-6045), позволяющий неаутентифицированному пользователю из локальной сети активировать на устройстве сервис telnet, предоставляющий доступ к системе с правами администратора, используя логин и пароль, сохранённые в прошивке.

Исследователи выяснили, что этот сервис включается через обращение к устройству по специальному URL, доступному без прохождения аутентификации. Пароль можно определить через анализ содержимого общедоступных прошивок. Предполагается, что бэкдор использовался для автоматизации тестирования устройств на этапе производства.

Согласно данным OpneNET, критическая проблема затрагивает модели устройств D-Link E15, E30, G403, G415, G416, M15, M18, M30, M32, M60, R03, R04, R12, R15, R18 и R32. Уязвимость CVE-2024-6045 устранена в обновлении прошивки 1.10.01 для моделей G403, G415, G416, M18, R03, R04, R12, R18, а также в прошивке 1.10.02 для моделей E30, M30, M32, M60, R32 и в прошивке 1.20.01 для моделей E15 и R15.1.10.02 и 1.20.01.

В сети анонсирована продажа критической уязвимости 0-day для китайских камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.

Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.

За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения продавец просит $400 тыс. При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC для теста.

Всем DevOps! Однажды один из наших клиентов обнаружил, что резервные копии ClickHouse, которые он хранит в S3 провайдера CROC, не очень-то и шифруются. Была поставлена задача: настроить шифрование бэкапов.

В своей новой статье Николай, наш DevOps-инженер, показал, как мы это сделали. Он разобрал основные методы шифрования данных на стороне сервера в Amazon S3 — SSE-C, SSE-KMS и SSE-S3, расписал плюсы и минусы работы с clickhouse-backup и продемонстрировал, как легко восстановить данные из шифрованных бэкапов.

💻 Если ещё не читали, то нажмите сюда, чтобы начать.

Любите бюджетные коммутаторы? Приглашаем на терапию для сетевиков 20 июня

На юбилейном митапе Selectel Network Meetup#10 создадим safe space для обсуждения дешевых коммутаторов: поделимся позитивным опытом и болью. Расскажем, как выглядит правильная TCP-сессия и почему что-то может пойти не так. А также откроем всю правду о Wi-Fi 😉

Приглашаем в офис Selectel всех, кто хочет присутствовать лично. А для участников из других городов организуем трансляцию встречи.

Темы докладов: 

• защита от SYN-flood,

• заблуждения о Wi-Fi,

• терапевтическая сессия: как поставить дешевый коммутатор и перестать беспокоиться.

Также вы сможете узнать подробнее про сетевой департамент Selectel и историю развития нашего Wi-Fi 🌐

Подключайтесь онлайн или приходите в наш офис ➡️

Выпущенная HP в мае 2024 года версия прошивки BIOS для ноутбуков серий ProBook и EliteBook, как выяснилось, на практике способна превратить устройство в бесполезный «кирпич».

Производитель продвигал неудачный апдейт через службу Windows Update, фирменное приложение HP Support и официальный сайт компании.

Пострадавшие от неправильной прошивки пользователи утверждают, что обновление, выводящее ноутбуки из строя, установилось автоматически и без их согласия.

HP знает о потенциальной проблеме с недавно выпущенным обновлением BIOS, которая может повлиять на HP ProBook x360 435 G7, HP ProBook 445 G7, HP ProBook 455 G7, HP EliteBook 835 G7, HP EliteBook 845 G7 и HP EliteBook 855 G7. Мы продолжаем исследовать проблему и тесно сотрудничаем с затронутыми клиентами. Клиентам, которые могли столкнуться с этой проблемой, следует обратиться в службу поддержки HP.

Эксперты из Lansweeper в преддверии окончания цикла сопровождения CentOS 7 (который истекает 30 июня), проанализировали дистрибутивы, используемые на 200 тысячах просканированных Linux-систем.

Как именно выбирались системы для проверки, в исследовании не уточняется, вероятно, статистика собрана по системам в сетях корпоративных клиентов, использующих платформу инвентаризации Lansweeper.

Наиболее популярным дистрибутивом стал Ubuntu, доля которого составила 32,24%. На втором месте оказался CentOS — 26,05%, а на третьем Red Hat Enterprise Linux — 20,11%. Доля Debian оказалась 7,05%, а Fedora Linux — 2.5%.

Достаточно большой процент присутствия оказался у дистрибутива Raspbian (4.35%), используемого на платах Raspberry Pi. Rocky Linux используется на 1.34% корп.систем, а Oracle Linux — на 3.87%. Доля SUSE Linux Enterprise составила 1.25%, а openSUSE — 0.07%. Linux Mint оказался установлен на 0.69% систем, а Astra Linux — 0.02%.

Несмотря на то, что исследование Lansweeper было ориентировано на Linux, в статистике также оказалась ОС FreeBSD (0.46%).

Источник: OpenNET.

В OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования таких атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, определяющий порог блокировки, срабатывающий при многих неудачных попытках соединений с одного IP-адреса. Механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6.

При активации защиты процесс sshd будет отслеживать статус завершения дочерних процессов, определяя ситуации без аутентификации или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение указывает на попытки эксплуатации уязвимостей в sshd.

В параметре PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP-адрес.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети.

Источник: OpenNET.

Представлен выпуск СУБД DuckDB 1.0, позиционируемой как вариант SQLite для аналитических запросов. DuckDB сочетает такие свойства SQLite, как компактность, возможность подключения в форме встраиваемой библиотеки, хранение БД в одном файле и удобный CLI-интерфейс, со средствами и оптимизациями для выполнения аналитических запросов, охватывающих значительную часть хранимых данных, например, выполняющих агрегирование всего содержимого таблиц или слияние нескольких больших таблиц. Исходный код проекта написан на языке С++ и распространяется под лицензией MIT.

Версия 1.0 отмечена как первый стабильный релиз проекта, при подготовке которого основное внимание было уделено повышению стабильности, а не наращиванию функциональности. В новой версии также закреплена фиксация формата хранения данных, для которого начиная с прошлого выпуска обеспечивается обратная совместимость.

DuckDB поддерживает расширенный диалект языка SQL, включающий дополнительные возможности для обработки очень сложных и длительно выполняемых запросов. Например, возможно использование сложных типов (массивы, структуры, объединения), а также выполнение произвольных и вложенных коррелирующих подзапросов. Поддерживается одновременное выполнение нескольких запросов, выполнение запросов напрямую из файлов в формате CSV и Parquet. Доступна поддержка импорта из СУБД PostgreSQL.

Источник: OpenNET.

Всем привет! Не docker'ом единым мы живы. Хочу показать, какими ещё вариантами обхода блокировки Docker Hub в России пользуется наша команда.

cri-o
Добавьте в файл /etc/containers/registries.conf следующий блок:
[[registry]]
location = "docker.io"

[[registry.mirror]]
location = "mirror.gcr.io"
и перезагрузите cri-o. Можно не переживать за контейнеры, они ребутаться не будут.

containerd
Нужно добавить или отредактировать блок plugins в /etc/containerd/config.toml:
[plugins]
[plugins."io.containerd.grpc.v1.cri"]
[plugins."io.containerd.grpc.v1.cri".registry]

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
endpoint = ["https://registry-1.docker.io", "https://mirror.gcr.io"]
и перезагрузить containerd. Здесь тоже можно не переживать за запущенные контейнеры.

Kaniko
Если возникли проблемы при билде с помощью Kaniko, то можно решить проблему либо добавлением аргумента --registry-mirror mirror.gcr.io, либо с помощью переменной окружения KANIKO_REGISTRY_MIRROR="mirror.gcr.io". Мы, например, вынесли её на уровень админки GitLab, чтобы вообще не трогать .gitlab-ci.yml, поэтому рекомендуем воспользоваться именно переменной для более комфортного обхода блокировки.

Проверьте знания Linux

Без Linux, конечно, никуда. Но хорошо ли вы разбираетесь в этой операционной системе? Уверены, что не путаетесь в командах в терминале, понимаете различия между дистрибутивами и помните наизусть все горячие клавиши?

Мы подготовили небольшой тест из 10 вопросов. Буквально на несколько минут. Профессионалы смогут блеснуть своими знаниями, а новички — узнать что-то новое. В комментариях к вопросам оставили ссылки на полезные обучающие материалы.

Проверьте свои знания Linux →

На GitHub опубликован скрипт get.ps1 для активации Windows и Office (используется ресурс https://get.activated.win/) для тестовых целей через PowerShell в рамках открытого проекта Microsoft Activation Scripts (MAS). В терминале нужно ввести всего одну команду:

irm https://get.activated.win | iex