Системное администрирование *

Проект OpenMandriva представил релиз OpenMandriva ROME 24.07. Это редакция дистрибутива OpenMandriva, использующая модель непрерывной доставки обновлений (rolling-выпуски).

Проект позволяет получить доступ к новым версиям пакетов, развиваемым для ветки OpenMandriva Lx 6, не дожидаясь формирования классического дистрибутива.

Подготовлены ISO‑образы размером 2.1–3.4 ГБ с рабочими столами KDE, GNOME и LXQt, поддерживающие загрузку в Live‑режиме. Сборки для KDE и LXQt доступны в вариантах x86_64 и «znver1» (сборка, оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC). Сборки с KDE поставляются в вариантах с Plasma 6 X11, Plasma 6 Wayland и Plasma 5.

Основные доработки в OpenMandriva ROME 24.07:

• по умолчанию задействована среда рабочего стола KDE Plasma 6, сформированная на основе выпусков KDE Plasma 6.1.3, KDE Frameworks 6.4.0, KDE Gears 24.05.2 и Qt 6.7.2. Доступны пакеты и сборки с KDE Plasma 5.27.11, KDE Frameworks 5.116, KDE Gears 23.08.5 и Qt 5.15.14. По умолчанию используется графический стек на базе X11, но отдельно подготовлен iso-образ с KDE Plasma 6 на базе Wayland (поддержка Wayland в KDE отмечена как пока недостаточно зрелая для замены X11 для большинства пользователей);

• обновлены версии пользовательских окружений LXQt 2.0.0 и GNOME 46.3;

• компоненты графического стека обновлены до версий Xorg Server 21.1.13, Wayland 1.23.0 и Mesa 24.1.4;

• в графический редактор Krita добавлен плагин для AI-генерации графики.

Источник: OpenNET.

Отказоустойчивость Hosted Engine, поддержка Keycloak и другие обновления: Orion soft расскажет о масштабном релизе zVirt 4.2

30 июля в 11:00 российский ИТ-разработчик Orion soft проведет онлайн-презентацию нового релиза флагманского решения компании — системы виртуализации zVirt. Представители компании раскроют технические особенности новых фичей, проведут демонстрацию и ответят на вопросы участников.

Версия zVirt 4.2 получила несколько мажорных обновлений. В их числе — дублирование Hosted Engine, которое обеспечивает высокую доступность для узла управления кластером zVirt, а также поддержка Keycloak — функция, с помощью которой компании могут организовать безопасную авторизацию пользователей zVirt с двухфакторной аутентификацией и удобно управлять учетными записями пользователей через UI. В zVirt 4.2 реализованы также механизм зеркалирования и приема трафика в SDN и поддержка программно-определяемого хранилища (SDS). 

Презентацию новых функций проведет Максим Березин, директор по развитию бизнеса Orion soft. Кроме того, спикер поделится результатами нагрузочного тестирования и расскажет о том, на каком количестве хостов продукт может стабильно работать.

В рамках презентации будут анонсированы также функции, которые войдут в следующий релиз zVirt 5.0. Среди них Storage DRS, упрощенный инсталлятор, управление аппаратной репликацией на СХД, Terraform provider и миграция конфигурации VMware vSphere в модуль SDN zVirt.

Зарегистрироваться на митап можно по ссылке.

Состоялся выпуск Live-дистрибутива NomadBSD 141R-20240711. Проект представляет собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя.

Графическое окружение NomadBSD 141 основано на Xfce. Для монтирования накопителей применяется инструментарий DSBMD (поддерживаются ФС ISO-9660, FAT, NTFS, UFS, Ext2/3, Ext4, HFS+, exFAT, XFS и Btrfs).

Размер загрузочного образа проекта составляет 2,5 ГБ (i386, amd64).

В новом выпуске NomadBSD базовое окружение обновлено до FreeBSD 14.1. Модуль fusefs изменён для сокращения возникновения ошибок при использовании unionfs. Специфичные для NomadBSD графические утилиты переведены с Qt5 на Qt6.

Источник: OpenNET.

Опубликован релиз открытого пакетного менеджера Pacman 7.0, применяемого в дистрибутиве Arch Linux.

Основные изменения в коде проекта Pacman 7.0:

• в настройки добавлен параметр DownloadUser, позволяющий сбросить привилегии при выполнении операций загрузки файлов и сохранить загруженные файлы во временный каталог, принадлежащий указанному в директиве пользователю;

• в системах на базе ядра Linux задействованы механизмы изоляции, запрещающие процессу, выполняющему загрузку, запись в области файловой системы вне каталога для загрузки. Для отключения режима изоляции при загрузке предложены настройка DisableSandbox и опция командной строки ‑disable‑sandbox;

• добавлена проверка того, что БД и цифровая подпись загружены из одного источника;

• в коде для предотвращения переполнений буфера вместо функции sprintf задействована функция snprintf, в которой задаётся лимит на размер результирующей строки;

• налажена возможность сборки в режиме ‑D FORTIFY_SOURCE=3, выявляющем возможные переполнения буфера при выполнении строковых функций, определённых в заголовочном файле string.h;

• устранена проблема, которая могла привести к переполнению буфера при обработке очень длинных файловых путей к скриплетам.

Источник: OpenNET.

Состоялся релиз системы фильтрации спама Rspamd 3.9, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки.

Проект Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код проекта написан на языке C и распространяется под лицензией Apache 2.0.

Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и рассчитан на применение в высоконагруженных системах.

Правила выявления признаков спама отличаются высокой гибкостью, могут содержать регулярные выражения и оформляться на языке Lua. Расширение функциональности и добавление новых типов проверок реализуется через модули на языках С и Lua. Доступны модули для проверки отправителя с использованием SPF, подтверждения домена отправителя через DKIM и формирования запросов в списки DNSBL.

В новой версии:

• улучшены настройки байесовского классификатора;

• добавлен модуль GPT, использующий API OpenAI GPT для классификации текста через запрос к большим языковым моделям;

• по умолчанию отключено динамическое изменение ограничений интенсивности отправки сообщений (dynamic ratelimit), связанных с одним отправителем, получателем или IP-адресом.

Источник: OpenNET.

Надежность — не просто слово, а важное дело

Привет! С вами центр надежности Т-Банка, и мы приглашаем инженеров на SRE-митап.

Где: Москва, офис Space, ул. Грузинский Вал, 7
Когда: 29 июля в 19:00

На встрече вы узнаете:

• как не напрягаясь казаться надежнее, чем есть на самом деле;

• понять, что ест ресурсы в PostgreSQL и как это прекратить;

• построить хранилище логов, если Grep вы уже переросли.

Для тех, кто не сможет прийти на митап, мы проведем онлайн-трансляцию. Регистрируйтесь по ссылке и выбирайте удобный формат участия.

О чем расскажут эксперты

Проблема с samba и Windows 10 последних редакций:

Windows 10 упорно не видит *nix шары. Уже и SMB1 компонент включили, и wins с local master роли самбе выделили - тишина. При попытке в Проводнике увидеть соседний хост с samba получаем только локалхост windows.

Проблема оказалась в том, что последние редакции Windows 10, и, в особенности, Windows 11, более не используют NetBIOS определение соседей, или обзор сети. Теперь - только Web services.

И да, Avahi не поможет.

Решение оказалось смешным до безобразия:

• на машину с samba ставим wsdd или wsdd2 (форк от Netgear на С)

• на Windows отключаем (если включали) компонент SMB1 и разрешаем Network Discovery

• Профит

На днях опубликовал на GitHub свой скрипт 2013 года, который наполнял с ИБП Ippon Smart Winner 750 базу данных IBM DB2 данными по напряжению сети (за каждую секунду в течение года, по результатам наблюдений скорректировал уставки на реле напряжения, их безопасность для техники подтвердилась при отгорании нуля), обновлял статус моего DynDNS клиента по данным с роутера, запускал и останавливал виртуальную машину VMware Player (там у меня крутилась openSUSE с сайтом на Apache/Django) по расписанию и когда в планировщике BeholdTV была запланирована запись кабельного телевидения (это было необходимо, поскольку видео захватывалось в .asf/x264 - crf18/AC3 без использования графического ускорения и на всё ресурсов не хватало), следил за качеством ADSL линии. А сегодня дополнил ещё рядом скриптов: в 2014 перенёс сайт на Raspberri Pi (Arch Linux ARM) и там стал захватывать IPTV видео. Про захват у меня на Дзене можно почитать, а скрипы создания оглавления и некоторого контроля версии файлов (WSH/JS) опубликовал на GitHub здесь же. Также скрипты по установке времени и некоторой оптимизации скорости отклика сайта, мониторинга доступности посредством Online Domain Tools. Ещё дополнил своими Windows скриптами по работе с СУБД IBM DB2 Express-C и её оптимизации по книге "Best practices Tuning and monitoring database system performance" (она тоже выложена в соответствии с лицензией). Изначально не включил библиотеку RGraph для построения графиков, теперь выложил под лицензией MIT 2013 года.

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

Источник: OpenNET.

Представлен выпуск Live-дистрибутива Finnix 126 для системных администраторов.

Проект основан на пакетной базе Debian, поддерживает только работу в консоли, а также содержит большую подборку утилит для нужд сетевых инженеров и системных администраторов. В состав дистрибутива входит более 600 пакетов со всевозможными утилитами. Размер iso-образа проекта составляет 498 МБ.

В новой версии Finnix внесены такие изменения и доработки:

• пакетная база синхронизирована с репозиториями Debian;

• ядро Linux обновлено до ветки 6.8;

• в состав включён пакет libc6-i386 для запуска некоторых 32-разрядных исполняемый файлов в 64-разрядном окружении Finnix;

• добавлена опция командной строки ядра '0', действие которой аналогично скрипту locale-config, но на начальной стадии загрузки;

• для сборки релиза задействована CI-платформа GitHub Actions.

Источник: OpenNET.

В начале июля состоялся релиз проекта FreeRDP 3.6, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft.

Открытый проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows.

Исходный код проекта опубликован на GitHub и распространяется под лицензией Apache 2.0.

В новой версии проекта:

• значительно повышена скорость декодировщика при использовании различных gfx-кодеков;

• добавлена экспериментальная поддержка расширения RDP-протокола "MS-RDPECAM" (Remote Desktop Protocol: Video Capture Virtual Channel Extension), предназначенного для передачи данных видео от клиента RDP на сервер RDP;

• предложена экспериментальная реализация клиента, переведённого на библиотеку SDL3;

• улучшено копирование изображений;

• добавлена поддержка p11-kit и json-c.

Источник: OpenNET.

Разработчики сообщества Fedora вынесли на обсуждение вопрос по поводу удаления Python 2.7 из 41 версии дистрибутива проекта. Фактически из коробки в Fedora 41+ не будет Python 2, кроме PyPy.

Это предложение будет реализовано только в том случае, если оно будет одобрено руководящим комитетом по разработке Fedora.

Пакет Python 2.7 с интерпретатором Python версии 2.7 оставался в дистрибутиве Fedora после окончания выпуска исходной версии (01.01.2020) только для того, чтобы пользователи Fedora могли протестировать своё программное обеспечение на основе версии Python, поставляемой в RHEL 7, CentOS 7 и RHEL 8 и для поддержки остальных пакетов, которые не удалось портировать.

Проект Fedora 41 выйдет в октябре 2024 года, почти через 5 лет после окончания выпуска Python 2.

23 апреля 2024 года разработчики проекта Fedora выпустили стабильную сборку проекта Fedora Linux 40. Релиз Fedora Linux 39 состоялся 7 ноября 2023 года, спустя 20 лет и 1 день после запуска проекта по выпуску популярного дистрибутива Linux.

Как фиксить CVE-2024-6387 на AlmaLinux 9.

Несмотря на то, что те, кому сильно надо уже прочитали https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/ я хочу кратко изложить не суть уязвимости (которая кстати требует больших ресурсов для реальной эксплуатации на 64-битных ОС), а то, как конкретно закрыть уязвимость CVE-2024-6387 на AlmaLinux 9.

1. Не затронуты сервера AlmaLinux 8! Поэтому на них делать ничего на надо!

2. На серверах AlmaLinux 9 нужно выполнить команду:
   sudo dnf --refresh -y upgrade openssh

3. Убедиться в том, что все верно выполнилось можно с помощью команды:
   rpm -q openssh
   Ищем в ответе строку openssh-8.7p1-38.el9.alma.2 – должно быть именно alma.2

По итогу разбора полетов хочу заметить что фикс AlmaLinux выпустили быстрее чем, собственно, основной поток RHEL (CentOS Stream/RHEL update).

Выпуском занимался специально созданный для подобных случаев управляющий комитет ALESCo, который и позволил закрыть проблему быстрее всех (на мое удивление отметились еще и Rocky Linux – они быстро среагировали, но там процесс оказался более замудренный – кому интересно – вот ссылка).

На днях вышел из строя ИБП. Переключился на стабилизатор. Было уже. До техники APC стоял ИБП Ippon Smart Winner 750. Мониторил напряжение. Сохранял в базе данных SQL сервера IBM DB2 Express-C 10.5 данные за каждую секунду и хранил в течение года. Это помогло выставить уставки на реле напряжения и нормально пережить несколько отгораний нуля без потерь для техники. Скрипты соответствующие опубликовал сегодня на GitHub у себя. При работе от стабилизатора приходилось потом чинить неоднократно SQL базу данных, благо у меня было настроено журналирование в "Архивном" режиме, а сама база данных периодически тестировалась на наличие повреждений. Сложнее с остальной частью данных на компьютере: в NTFS принято частичное журналирование и внезапное отключение ведёт к необходимости решать, восстанавливать ли из бэкапа или соглашаться с тем, что возможно какие-то повреждения будут не сразу обнаружены и могут вызвать проблемы с дальнейшим ремонтом. Чуть раньше такой же пост на Дзене у себя опубликовал.

Привет, сегодня хочу коротко рассказать про жизненный цикл Docker контейнера.

Жизненный цикл Docker контейнера

1. Создание (Created):

   • Контейнер создаётся с помощью команды docker create.

   • Команда docker run объединяет docker create и docker start.

2. Запуск (Running):

   • Контейнер начинает работать с командами docker start или docker restart.

   • Можно приостановить контейнер командой docker pause и возобновить работу командой docker unpause.

3. Перезапуск (Restarting):

   • Контейнер автоматически перезапускается командой docker restart.

4. Пауза (Paused):

   • Контейнер временно приостанавливается командой docker pause и возобновляется командой docker unpause.

5. Остановка (Exited):

   • Контейнер прекращает свою работу командами docker stop или docker kill.

6. Удаление (Removing):

   • Контейнер удаляется командой docker rm.

Эти этапы помогают понять, как управлять контейнерами и какие команды для этого использовать.

Сохраняйте в закладки, подписывайтесь, ставьте лайки если эта информация была вам полезной.

✉️ Всем привет! Мы запустили собственную email-рассылку о DevOps и системном администрировании.

Что вы найдёте в наших письмах?

1. Эксклюзивные лонгриды на техническую тематику. Как на Хабре, только короче;

2. Понятные чек-листы и туториалы, которыми можно пользоваться;

3. Чил-аут контент с капелькой креатива.

Пишем редко, но с душой и по делу. Отбираем только полезные для вашей работы темы. Прислушаемся, если вам захочется чего-то более специального.

После подтверждения подписки вам на ящик сразу упадёт письмо с лучшими практиками по Kubernetes.

Нажмите сюда, чтобы подписаться. Будем рады каждому подписчику.

​​Хотите перенести инфраструктуру с минимальным даунтаймом? Присоединяйтесь к вебинару «Как мигрировать инфраструктуру в Selectel?»

Расскажем, как предусмотреть все нюансы и сделать переезд в Selectel максимально комфортным для проекта.

На мероприятии вы узнаете:

• о видах, инструментах и сложностях миграции;

• о длительности переноса проекта;

• о зонах и ответственности при миграции;

• о переключении продакшена после переноса;

• о контроле за работой инфраструктуры.

Оставляйте вопросы в форме регистрации — ответим на них в конце вебинара. Авторам самых интересных подарим плюшевых Тирексов 🦖

На мероприятии вы сможете присоединиться к акции «100% скидка на облачные ресурсы на один месяц» и получить типовой план переноса инфраструктуры 🙌

Регистрируйтесь по ссылке →

Представлен выпуск дистрибутива SysLinuxOS 12.4, построенного на пакетной базе Debian 12 и нацеленного на предоставление загрузочного live-окружения, оптимизированного для системных интеграторов и администраторов.

Для загрузки проекта подготовлены сборки с рабочими столами GNOME (4,8 ГБ) и MATE (5 ГБ). Окружение работает в Live-режиме, но поддерживает и установку на диск при помощи инсталлятора Calamares.

В новом выпуске ядро Linux обновлено до версии 6.7, а пакетная база синхронизирована с Debian 12.4. Также улучшена организация меню в GNOME и MATE.

В состав SysLinuxOS 12.4 входит подборка предустановленных приложений для мониторинга и диагностики работы сети, туннелирования трафика, запуска VPN, организации удалённого доступа, обнаружения вторжений, проверки безопасности, симуляции работы сетей и анализа трафика, которые можно использовать сразу после загрузки дистрибутива с USB-накопителя.

Среди входящих в поставку SysLinuxOS 12.4 есть такие приложения и инструменты: Wireshark, Etherape, Ettercap, PackETH, Packetsender, Putty, Nmap, GNS3, Lssid, Packet Tracer, Wine, Virtualbox, Teamviewer, Anydesk, Remmina, Zoom, Skype, Packetsender, Sparrow-Wifi, Angry Ip Scanner, Fast-cli, Speedtest-cli, ipcalc, iperf3, Munin, Stacer, Zabbix, Suricata, Firetools, Firewalk, Firejails, Cacti, Icinga, Monit, Nagios4, Fail2ban, Wireguard, OpenVPN, Firefox, Chrome, Chromium, Microsoft Edge и Tor Browser.

Источник: OpenNET.

Вышел релиз специализированного дистрибутива Tails 6.4 (The Amnesic Incognito Live System) на пакетной базе Debian 12 с рабочим столом GNOME 43.

Проект предназначен для анонимного выхода в сеть с помощью системы Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения данных пользователя в режиме сохранения между запусками применяется шифрование. Для загрузки доступен ISO-образ (1 ГБ), способный работать в Live-режиме.

В новой версии:

• обеспечено сохранение на USB-накопителе (в свободных секторах за пределами постоянного хранилища Tails) случайного seed-значения, используемого при инициализации пула энтропии для генератора псевдослучайных чисел на раннем этапе загрузки, на котором доступных источников энтропии может оказаться недостаточно для качественной генерации случайных чисел для криптографических нужд или когда необходимо избавиться от задержки на накопление энтропии (сохранённое перед завершением работы случайное число помогает восполнить недостаток энтропии при следующей загрузке).

• осуществлён переход на использование адреса с HTTPS вместо onion-адреса для обращения к APT-репозиториям Debian и Tails. Это повысило надёжность автоустановки выбранных пользователем доппрограмм (Additional Software) при запуске Tails.

• решены проблемы с разблокировкой области накопителя, предназначенной для постоянного хранения данных (Persistent Storage).

• обновлены версии Tor Browser и Thunderbird.

Источник: OpenNET.

В нулевые я ставил на заводы телекоммуникационное оборудование. Как правило УПАТС (учрежденческо-производственная АТС). Заводил знакомства не только со связистами, но и снабженцами, бухгалтерами, логистами.

До сорока контактных лиц на каждом предприятии. Многие из них считали меня айтишником и иногда просили им помочь. В этом посте я постарался собрать несколько курьезных случаев.

1. Мужчина из конструкторского бюро поймал вирус. Позвонил мне. Я уже улетал, сидел в аэропорту.
   — А! Я знаю как мы поступим... — сказал он.
   — Как? — спросил я.
   — Сейчас, погоди. Ты же не торопишься?
   — Нет, я в зале ожидания.
   — Ага. Так. Все. Я тебе его переслал. Посмотри что с ним можно сделать.

2. На Уралмаше я познакомился с поварихами. Они приходили раньше всех и кормили меня яичницей, потому что я «командировашный». Однажды разговорились, я сказал, что у завода в планах замена телефонной станции.
   — Так ты телефонист? — спросила одна из них.
   — Нет, скорее айтишник. — ответил я.
   — О! Почини нам микроволновку.

3. Бухгалтер жаловалась на внука, что он «испортил интернет». Пообещала борщ, если я починю. Жила близко. В один из дней я освободился пораньше и мы пришли в квартиру, где меня ждал внук, лет 12. Он пытался объяснить, что бабушка должна что-то оплатить, а бабушка грозилась что-то рассказать матери и уверяла, что все оплатила.
   Ситуация прояснилась, когда я прошел в комнату и увидел модем, подключенный к телефонной сети. Автоответчик в телефоне объяснил бабушке, что внук не виноват и маме его можно не сдавать.