В сети анонсирована продажа критической уязвимости 0-day для китайских камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.
Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.
За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения продавец просит $400 тыс. При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC для теста.
Всем DevOps! Однажды один из наших клиентов обнаружил, что резервные копии ClickHouse, которые он хранит в S3 провайдера CROC, не очень-то и шифруются. Была поставлена задача: настроить шифрование бэкапов.
В своей новой статье Николай, наш DevOps-инженер, показал, как мы это сделали. Он разобрал основные методы шифрования данных на стороне сервера в Amazon S3 — SSE-C, SSE-KMS и SSE-S3, расписал плюсы и минусы работы с clickhouse-backup и продемонстрировал, как легко восстановить данные из шифрованных бэкапов.
💻 Если ещё не читали, то нажмите сюда, чтобы начать.
Любите бюджетные коммутаторы? Приглашаем на терапию для сетевиков 20 июня
На юбилейном митапе Selectel Network Meetup#10 создадим safe space для обсуждения дешевых коммутаторов: поделимся позитивным опытом и болью. Расскажем, как выглядит правильная TCP-сессия и почему что-то может пойти не так. А также откроем всю правду о Wi-Fi 😉
Приглашаем в офис Selectel всех, кто хочет присутствовать лично. А для участников из других городов организуем трансляцию встречи.
Темы докладов:
защита от SYN-flood,
заблуждения о Wi-Fi,
терапевтическая сессия: как поставить дешевый коммутатор и перестать беспокоиться.
Также вы сможете узнать подробнее про сетевой департамент Selectel и историю развития нашего Wi-Fi 🌐
Выпущенная HP в мае 2024 года версия прошивки BIOS для ноутбуков серий ProBook и EliteBook, как выяснилось, на практике способна превратить устройство в бесполезный «кирпич».
Производитель продвигал неудачный апдейт через службу Windows Update, фирменное приложение HP Support и официальный сайт компании.
Пострадавшие от неправильной прошивки пользователи утверждают, что обновление, выводящее ноутбуки из строя, установилось автоматически и без их согласия.
HP знает о потенциальной проблеме с недавно выпущенным обновлением BIOS, которая может повлиять на HP ProBook x360 435 G7, HP ProBook 445 G7, HP ProBook 455 G7, HP EliteBook 835 G7, HP EliteBook 845 G7 и HP EliteBook 855 G7. Мы продолжаем исследовать проблему и тесно сотрудничаем с затронутыми клиентами. Клиентам, которые могли столкнуться с этой проблемой, следует обратиться в службу поддержки HP.
Эксперты из Lansweeper в преддверии окончания цикла сопровождения CentOS 7 (который истекает 30 июня), проанализировали дистрибутивы, используемые на 200 тысячах просканированных Linux-систем.
Как именно выбирались системы для проверки, в исследовании не уточняется, вероятно, статистика собрана по системам в сетях корпоративных клиентов, использующих платформу инвентаризации Lansweeper.
Наиболее популярным дистрибутивом стал Ubuntu, доля которого составила 32,24%. На втором месте оказался CentOS — 26,05%, а на третьем Red Hat Enterprise Linux — 20,11%. Доля Debian оказалась 7,05%, а Fedora Linux — 2.5%.
Достаточно большой процент присутствия оказался у дистрибутива Raspbian (4.35%), используемого на платах Raspberry Pi. Rocky Linux используется на 1.34% корп.систем, а Oracle Linux — на 3.87%. Доля SUSE Linux Enterprise составила 1.25%, а openSUSE — 0.07%. Linux Mint оказался установлен на 0.69% систем, а Astra Linux — 0.02%.
Несмотря на то, что исследование Lansweeper было ориентировано на Linux, в статистике также оказалась ОС FreeBSD (0.46%).
В OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования таких атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, определяющий порог блокировки, срабатывающий при многих неудачных попытках соединений с одного IP-адреса. Механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6.
При активации защиты процесс sshd будет отслеживать статус завершения дочерних процессов, определяя ситуации без аутентификации или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение указывает на попытки эксплуатации уязвимостей в sshd.
В параметре PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP-адрес.
Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети.
Представлен выпуск СУБД DuckDB 1.0, позиционируемой как вариант SQLite для аналитических запросов. DuckDB сочетает такие свойства SQLite, как компактность, возможность подключения в форме встраиваемой библиотеки, хранение БД в одном файле и удобный CLI-интерфейс, со средствами и оптимизациями для выполнения аналитических запросов, охватывающих значительную часть хранимых данных, например, выполняющих агрегирование всего содержимого таблиц или слияние нескольких больших таблиц. Исходный код проекта написан на языке С++ и распространяется под лицензией MIT.
Версия 1.0 отмечена как первый стабильный релиз проекта, при подготовке которого основное внимание было уделено повышению стабильности, а не наращиванию функциональности. В новой версии также закреплена фиксация формата хранения данных, для которого начиная с прошлого выпуска обеспечивается обратная совместимость.
DuckDB поддерживает расширенный диалект языка SQL, включающий дополнительные возможности для обработки очень сложных и длительно выполняемых запросов. Например, возможно использование сложных типов (массивы, структуры, объединения), а также выполнение произвольных и вложенных коррелирующих подзапросов. Поддерживается одновременное выполнение нескольких запросов, выполнение запросов напрямую из файлов в формате CSV и Parquet. Доступна поддержка импорта из СУБД PostgreSQL.
Всем привет! Не docker'ом единым мы живы. Хочу показать, какими ещё вариантами обхода блокировки Docker Hub в России пользуется наша команда.
cri-o Добавьте в файл /etc/containers/registries.conf следующий блок: [[registry]] location = "docker.io"
[[registry.mirror]] location = "mirror.gcr.io" и перезагрузите cri-o. Можно не переживать за контейнеры, они ребутаться не будут.
containerd Нужно добавить или отредактировать блок plugins в /etc/containerd/config.toml: [plugins] [plugins."io.containerd.grpc.v1.cri"] [plugins."io.containerd.grpc.v1.cri".registry]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"] endpoint = ["https://registry-1.docker.io", "https://mirror.gcr.io"] и перезагрузить containerd. Здесь тоже можно не переживать за запущенные контейнеры.
Kaniko Если возникли проблемы при билде с помощью Kaniko, то можно решить проблему либо добавлением аргумента --registry-mirror mirror.gcr.io, либо с помощью переменной окружения KANIKO_REGISTRY_MIRROR="mirror.gcr.io". Мы, например, вынесли её на уровень админки GitLab, чтобы вообще не трогать .gitlab-ci.yml, поэтому рекомендуем воспользоваться именно переменной для более комфортного обхода блокировки.
Без Linux, конечно, никуда. Но хорошо ли вы разбираетесь в этой операционной системе? Уверены, что не путаетесь в командах в терминале, понимаете различия между дистрибутивами и помните наизусть все горячие клавиши?
Мы подготовили небольшой тест из 10 вопросов. Буквально на несколько минут. Профессионалы смогут блеснуть своими знаниями, а новички — узнать что-то новое. В комментариях к вопросам оставили ссылки на полезные обучающие материалы.
Компания Canonical объявила о выпуске сборок Real-time Ubuntu 24.04, оптимизированных для выполнения задач в режиме реального времени.
В сборках проекта Real-time Ubuntu задействовано ядро Linux 6.8 с патчами RT (Realtime-Preempt, PREEMPT_RT или "-rt"), обеспечивающими снижение задержек и позволяющими добиться предсказуемого времени обработки событий.
В сборки Real-time Ubuntu дополнительно включены оптимизации, нацеленные на повышение производительности и снижение задержек на платах Raspberry Pi 4 и 5, и системах на базе процессоров Intel Core, поддерживающих технологии TCC (Time Coordinated Computing) и TSN (Time-Sensitive Networking).
Готовые сборки проекта Real-time Ubuntu сформированы для архитектур x86_64 и Aarch64 и распространяется через сервис Ubuntu Pro, который является платным для коммерческих применений. Для персонального использования предусмотрена возможность бесплатного подключения к сервису Ubuntu Pro до 5 ПК (для членов сообщества Ubuntu Community - 50 ПК).
В Ubuntu 24.04 LTS внесены значительные изменения и доработки, включая обновление системных компонентов, пользовательских приложения и серверных пакетов. В проекте обновлены версии GCC 14-pre, LLVM 18, Python 3.12, OpenJDK 21 (опционально доступны OpenJDK 8, 11 и 17), Rust 1.76, Go 1.22, .NET 8, PHP 8.3.3, Ruby 3.2.3.
Всем DevOps! Наш DevOps-инженер Данил выпустил очень полезный туториал для тех, кто только начинает своё знакомство с Kubernetes.
Если вы хотите понять, как развернуть кластер Kubernetes на собственных серверах с отказоустойчивым балансировщиком в виде MetalLB, то новая статья в нашем блоге придётся как раз кстати.
Вы узнаете, как связка MetalLB, Longhorn и Kubespray позволяет обойтись меньшим количеством виртуалок и построить закрытую, высокоэффективную систему, способную удовлетворить специфические потребности бизнеса.
Представлен открытый проект для уборки мусора из Windows и ускорения ПК в несколько раз под названием Win11Debloat. Это мощный твикер, который разом удаляет мусорные приложения от Microsoft, отключает сбор данных, открывает кастомизацию и прочее.
Что может этот проект:
удаляет бесполезные системные приложения (с возможностью выбора)
отключает намертво запиненные иконки в панели "Пуска";
вырезает Cortana, Bing и Copilot;
отключает телеметрию, сбор диагностических данных, отслеживание запуска приложений и таргетированную рекламу;
показывает скрытые папки и файлы по умолчанию;
покажет расширения известных файлов Windows;
восстановит контекстное меню в стиле Windows 10;
выровняет значки в панели задач по левому краю и многое-многое другое.
Инструмент Win11Debloat подходит и для Windows 10. А если изменения пользователю не понравятся, то их очень легко откатить назад.
Наша статья по DevSecOps победила в премии «Технотекст» в категории «Информационная безопасность», грейд Senior. Очень рад!
Расскажу в двух словах, о чём статья: - В статье мы мы рассказали, что такое концепция Shift Left, и как она помогает сократить стоимость исправления ошибок и сроки разработки: чем раньше в процессе разработки начинаются проверки безопасности, тем лучше. - Затем разобрали структуру DevSecOps-пайплайна и посмотрели, какие проверки безопасности проводят на каждом этапе пайплайна: от pre-commit до post-deploy. - В конце рассказали о Security Dashboards — инструментах визуализации данных, которые помогают эффективно анализировать уязвимости и управлять процессом их устранения.
Microsoft обновила свою веб-страницу (где пользователи могут узнать об окончании поддержки старых версий Windows, таких как Windows 7 и Windows 8.1), чтобы напомнить пользователям об окончании поддержки Windows 10.
Теперь на веб-странице представлена Windows 10, которая, хотя и все еще поддерживается, в следующем году прекратит свое существование.
Прекращение поддержки означает, что Microsoft больше не будет выпускать критические исправления, чтобы защитить корпоративных клиентов (а также образовательные учреждения) с Windows 10 версии 21H2 от уязвимостей и других угроз. Кроме того, официальная служба поддержки Microsoft сначала предложит системным администраторам и пользователям обновиться до последней версии Windows 10 или перейти на Windows 11, прежде чем сможет оказывать помощь в рамках своих компетенций.
После 11 июня 2024 года у Windows 10 будет только одна поддерживаемая версия — 22H2, срок эксплуатации которой закончится в октябре 2025 года.
Друзья, у Миши, нашего DevOps-инженера, вышла вторая часть серии про создание почтового сервера с чистого поля.
Вообще, создание почтовика — нетривиальная задача, которая требует внимания к деталям. Если вы хотите создать надёжный и эффективный почтовый сервер, который будет успешно функционировать и обслуживать пользователей, то вам помогут туториалы, которые пишет Миша.
В новой статье он показывает, как его настроить с помощью PostfixAdmin, Dovecot и RainLoop. А ещё в тексте вы найдёте немного экзотики, а именно best practices по Dovecot.
? Если вы ещё не читали, то вот ссылка. А здесь опубликована первая часть серии.
Компании «Базис» и Fplus подписали соглашение о старте научно‑технического сотрудничества в рамках конференции «Цифровая индустрия промышленной России» (ЦИПР). В рамках соглашения компании будут создавать экосистему. Основой экосистемы станут российское оборудование и решения по виртуализации и средствам её защиты.
По словам представителей компаний, объединение решений позволят применять смартфоны и ноутбуки производства Fplus для удалённого доступа к виртуальным рабочим местам от «Базис». Рабочее окружение с мобильного устройства каждого сотрудника будет запускаться на отдельной виртуальной машине и безопасно взаимодействовать с корпоративным парком оборудования. Новая экосистема будет предназначена для организаций‑представителей госсектора и для крупного бизнеса.
Вышло полное руководство по буткитам Windows, которое подготовил и опубликовал исследователь по ИБ Артем Баранов. Технический пост руководства включает два основных раздела: сборник источников с основными отчетами и докладами по буткитам и сводную инфографику.
В «Яндекс Браузере» для организаций появились новые групповые политики для защиты информации. Администраторы могут добавлять на веб‑страницы цифровые водяные знаки, управлять работой буфера обмена и функцией drag‑and‑drop в браузере. Это поможет защитить конфиденциальные данные.
Цифровые водяные знаки — это QR-коды, которые размещают на веб-страницах с важной информацией, чтобы защитить от утечки. Эти QR-коды видны на скриншотах и фотографиях экрана. Они содержат информацию о просмотре страницы, например, с какого устройства её открывали. Цифровые водяные знаки можно добавлять как на внутренние, так и на внешние ресурсы, где компания хранит данные. Для этого достаточно указать список сайтов, где нужно разместить QR-коды, задать их размер, количество и прозрачность.
Групповые политики позволяют настроить работу функции drag-and-drop, которая помогает переносить информацию, загружать её в хранилища, прикреплять файлы и изображения к письмам. Теперь IT-администраторы или сотрудники службы безопасности могут составить список сайтов, для которых функция drag-and-drop не будет работать. А значит, важные тексты, изображения и другие данные не окажутся за пределами компании.
Также появилась возможность задать размер данных (текста, изображений и так далее), которые сотрудники могут скопировать в буфер обмена или, наоборот, вставить из буфера обмена. Это позволит защитить конфиденциальную информацию, не отключая полностью функцию копирования.
Вышел релиз Live‑дистрибутива NST 40 (Network Security Toolkit), предназначенного для проведения анализа безопасности сети и слежения за её функционированием. Размер загрузочного iso‑образа (x86_64) составляет 5 ГБ. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в ранее развёрнутую систему. NST 40 построен на базе Fedora и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux.
В состав NST 40 включена большая подборка приложений, имеющих отношение к сетевой безопасности (Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap). Для управления процессом проверки безопасности и автоматизации вызова различных утилит подготовлен специальный веб‑интерфейс с интегрированным веб‑фронтендом для сетевого анализатора Wireshark. Графическое окружения дистрибутива базируется на FluxBox.
пакетная база синхронизирована с Fedora 40, используется ядро Linux 6.8;
обновлены до свежих выпусков поставляемые в составе приложения;
расширены возможности веб-интерфейса NST WUI;
в состав включено приложение Portainer для управления docker-контейнерами;
предоставлена возможность запуска docker-контейнера с Spiderfoot, OSINT-инструментом (разведка на основе открытых источников) для получения дополнительной информации об IP-адресах, доменных именах.
