Системное администрирование *

Наша статья по DevSecOps победила в премии «Технотекст» в категории «Информационная безопасность», грейд Senior. Очень рад!

Расскажу в двух словах, о чём статья:
- В статье мы мы рассказали, что такое концепция Shift Left, и как она помогает сократить стоимость исправления ошибок и сроки разработки: чем раньше в процессе разработки начинаются проверки безопасности, тем лучше.
- Затем разобрали структуру DevSecOps-пайплайна и посмотрели, какие проверки безопасности проводят на каждом этапе пайплайна: от pre-commit до post-deploy.
- В конце рассказали о Security Dashboards — инструментах визуализации данных, которые помогают эффективно анализировать уязвимости и управлять процессом их устранения.

Читать статью

Все результаты премии «Технотекст»

Microsoft обновила свою веб-страницу (где пользователи могут узнать об окончании поддержки старых версий Windows, таких как Windows 7 и Windows 8.1), чтобы напомнить пользователям об окончании поддержки Windows 10.

Теперь на веб-странице представлена Windows 10, которая, хотя и все еще поддерживается, в следующем году прекратит свое существование.

Прекращение поддержки означает, что Microsoft больше не будет выпускать критические исправления, чтобы защитить корпоративных клиентов (а также образовательные учреждения) с Windows 10 версии 21H2 от уязвимостей и других угроз. Кроме того, официальная служба поддержки Microsoft сначала предложит системным администраторам и пользователям обновиться до последней версии Windows 10 или перейти на Windows 11, прежде чем сможет оказывать помощь в рамках своих компетенций.

После 11 июня 2024 года у Windows 10 будет только одна поддерживаемая версия — 22H2, срок эксплуатации которой закончится в октябре 2025 года.

Друзья, у Миши, нашего DevOps-инженера, вышла вторая часть серии про создание почтового сервера с чистого поля.

Вообще, создание почтовика — нетривиальная задача, которая требует внимания к деталям. Если вы хотите создать надёжный и эффективный почтовый сервер, который будет успешно функционировать и обслуживать пользователей, то вам помогут туториалы, которые пишет Миша.

В новой статье он показывает, как его настроить с помощью PostfixAdmin, Dovecot и RainLoop. А ещё в тексте вы найдёте немного экзотики, а именно best practices по Dovecot.

? Если вы ещё не читали, то вот ссылка. А здесь опубликована первая часть серии.

Компании «Базис» и Fplus подписали соглашение о старте научно‑технического сотрудничества в рамках конференции «Цифровая индустрия промышленной России» (ЦИПР). В рамках соглашения компании будут создавать экосистему. Основой экосистемы станут российское оборудование и решения по виртуализации и средствам её защиты.

По словам представителей компаний, объединение решений позволят применять смартфоны и ноутбуки производства Fplus для удалённого доступа к виртуальным рабочим местам от «Базис». Рабочее окружение с мобильного устройства каждого сотрудника будет запускаться на отдельной виртуальной машине и безопасно взаимодействовать с корпоративным парком оборудования. Новая экосистема будет предназначена для организаций‑представителей госсектора и для крупного бизнеса.

Вышло полное руководство по буткитам Windows, которое подготовил и опубликовал исследователь по ИБ Артем Баранов. Технический пост руководства включает два основных раздела: сборник источников с основными отчетами и докладами по буткитам и сводную инфографику.

В «Яндекс Браузере» для организаций появились новые групповые политики для защиты информации. Администраторы могут добавлять на веб‑страницы цифровые водяные знаки, управлять работой буфера обмена и функцией drag‑and‑drop в браузере. Это поможет защитить конфиденциальные данные.    

Цифровые водяные знаки — это QR-коды, которые размещают на веб-страницах с важной информацией, чтобы защитить от утечки. Эти QR-коды видны на скриншотах и фотографиях экрана. Они содержат информацию о просмотре страницы, например, с какого устройства её открывали. Цифровые водяные знаки можно добавлять как на внутренние, так и на внешние ресурсы, где компания хранит данные. Для этого достаточно указать список сайтов, где нужно разместить QR-коды, задать их размер, количество и прозрачность.

Групповые политики позволяют настроить работу функции drag-and-drop, которая помогает переносить информацию, загружать её в хранилища, прикреплять файлы и изображения к письмам. Теперь IT-администраторы или сотрудники службы безопасности могут составить список сайтов, для которых функция drag-and-drop не будет работать. А значит, важные тексты, изображения и другие данные не окажутся за пределами компании. 

Также появилась возможность задать размер данных (текста, изображений и так далее), которые сотрудники могут скопировать в буфер обмена или, наоборот, вставить из буфера обмена. Это позволит защитить конфиденциальную информацию, не отключая полностью функцию копирования.  

Вышел релиз Live‑дистрибутива NST 40 (Network Security Toolkit), предназначенного для проведения анализа безопасности сети и слежения за её функционированием. Размер загрузочного iso‑образа (x86_64) составляет 5 ГБ. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в ранее развёрнутую систему. NST 40 построен на базе Fedora и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux.

В состав NST 40 включена большая подборка  приложений, имеющих отношение к сетевой безопасности (Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap). Для управления процессом проверки безопасности и автоматизации вызова различных утилит подготовлен специальный веб‑интерфейс с интегрированным веб‑фронтендом для сетевого анализатора Wireshark. Графическое окружения дистрибутива базируется на FluxBox.

В выпуске NST 40:

• пакетная база синхронизирована с Fedora 40, используется ядро Linux 6.8;

• обновлены до свежих выпусков поставляемые в составе приложения;

• расширены возможности веб-интерфейса NST WUI;

• в состав включено приложение Portainer для управления docker-контейнерами;

• предоставлена возможность запуска docker-контейнера с Spiderfoot, OSINT-инструментом (разведка на основе открытых источников) для получения дополнительной информации об IP-адресах, доменных именах.

Источник: OpenNET.

В конце мая 2024 года состоялся выпуск архиватора WinRAR 7.01 от Евгения Рошаля и команды RARLAB. Сборки новой версии популярной программы для сжатия файлов доступны для Linux, macOS, Windows, Android и FreeBSD.

В новой версии проекта исправлены ранее обнаруженные ошибки и повышена стабильность работы.

Релиз WinRAR 7.0 и RAR 7.0 состоялся в конце февраля 2024 года.

В январе 2022 года разработчики WinRAR отказались от поддержки Windows XP. Графический режим версии 6.1 архиватора теперь доступен на ПК с ОС от Microsoft, начиная с Windows Vista. Ранее разработчики WinRAR отказались от поддержки Windows 2000, 95, 98, ME и NT.

В августе 2023 года разработчики из RARLAB выпустили WinRAR версии 6.23. В обновлении архиватора устранена критическая уязвимость CVE-2023-40477, позволяющая злоумышленникам удалённо и незаметно для пользователя запускать в рабочей системе вредоносный код при условии открытия на ПК специально созданного RAR-архива.

Программа WinRAR с 1993 года пережила многие ОС, архитектуры, ей пользовались несколько поколений айтишников и продолжают покупать лицензии на этот продукт по возможности. Согласно пояснению в Wiki, консольная версия Rar.exe по-прежнему работает в ОС Windows XP и новее.

WinRar 7 доступен бесплатно с показом предупреждения о пробном периоде или без уведомления о необходимости активации при покупке бессрочной лицензии.

21 мая проводим воркшоп «Приватные инсталляции Kubernetes»

Хотите узнать, как развернуть приватную инсталляцию Kubernetes в публичном облаке с помощью Terraform?

На практическом вебинаре поделимся тонкостями:
? расскажем, как построить частное облако внутри публичного;
? разберем клиентские кейсы;
? покажем, как создать кластер Kubernetes с приватным API с помощью Terraform;

Задавайте вопросы через форму регистрации или в чате трансляции — ответим на них в конце вебинара. Авторам самых интересных подарим плюшевых Тирексов ?

Все зарегистрированные участники получат запись трансляции и примеры готовых манифестов Terraform.

Регистрируйтесь по ссылке →

10 мая 2024 года Cloudflare представила второй публичный релиз открытого проекта Pingora v0.2.0. Это асинхронный многопоточный фреймворк на Rust, который помогает создавать прокси-сервисы HTTP. Проект используется для создания сервисов, обеспечивающих значительную часть трафика в Cloudflare (вместо применения Nginx). Исходный код Pingora опубликован на GitHub под лицензией Apache 2.0.

Pingora предоставляет библиотеки и API для создания сервисов поверх HTTP/1 и HTTP/2, TLS или просто TCP/UDP. В качестве прокси-сервера он поддерживает сквозное проксирование HTTP/1 и HTTP/2, gRPC и WebSocket. (Поддержка HTTP/3 — в планах). Pingora также включает в себя настраиваемые стратегии балансировки нагрузки и аварийного переключения. Чтобы соответствовать требованиям и безопасности он поддерживает как широко используемые библиотеки OpenSSL, так и BoringSSL, которые соответствуют требованиям FIPS (федеральных стандартов обработки информации США) и пост-квантового шифрования.

Изменения в новой версии:

• добавлена поддержка установки фильтров для дополнительных заголовков HTTP/2;

• добавлена возможность изменения размера буфера входящих пакетов для TCP;

• добавлена функция body_bytes_read();

• добавлен фильтр cache_not_modified_filter;

• добавлена возможность ведения лога TLS-ключей;

• добавлена callback-функция purge_response.

В рабочем режиме Pingora обеспечивает плавный перезапуск без простоев для самостоятельного обновления, не теряя ни одного входящего запроса.

Масштабируемые, отказоустойчивые, выгодные ⚡️

Подключайте топовые сервисы Selectel со скидкой 20%

До 30 июня подключите три сервиса Managed Kubernetes, облачные базы данных и объектное хранилище S3. И пользуйтесь ими со скидкой 20%.

Как получить скидку

1. Зарегистрируйтесь в панели управления.

2. Подключите Managed Kubernetes, облачные базы данных и объектное хранилище в подходящих вам конфигурациях.

3. Оставьте заявку в тикет-системе. Напишите, что участвуете в этой акции, и укажите примерную сумму, которую планируете тратить на каждый сервис.

4. Дождитесь ответа от поддержки и пользуйтесь сервисами с ежемесячной скидкой 20%.

При аренде инфраструктуры от 50 000 ₽ в месяц бесплатно перенесем ваши проекты в Selectel. Просто напишите нам, и инженеры Selectel позаботятся о миграции вашего проекта.

25 апреля 2024 года состоялся релиз архиватора WinRAR 7.01 Beta 1.

В этой версии проекта исправлены ошибки седьмого релиза, включая:

• updating an encrypted file in a solid RAR archive produced a corrupt archive if updated file was the first in archive, no password was specified when starting updating and file name encryption in the updated archive wasn't enabled;

• WinRAR 7.00 crashed after switching to "Flat folders view" mode from archive subfolder;

• switch -ep4 duplicated the specified path instead of excluding it when extracting;

• if archive created by Unix RAR version contained symlinks with path separator characters in target paths, these characters could be broken when modifying such archive with Windows RAR;

• invalid file name was displayed in file rename and file execute WinRAR error messages;

• SFX "Shortcut" command failed to recognize empty parameters defined like "Shortcut=D,"",folder", while correctly recognizing such parameters without quote marks like "Shortcut=D,,folder";

• volume reconstruction didn't work in WinRAR.exe if "rc" command was specified with .rev file, such as "WinRAR rc arc.part1.rev". Unlike RAR, WinRAR required to use only .rar file name here.

28 февраля 2024 года состоялся официальный релиз культового архиватора WinRAR 7.0 и RAR 7.0 от Евгения Рошаля и команды RARLAB.

WinRar 7 доступен бесплатно с показом предупреждения о пробном периоде или без уведомления о необходимости активации при покупке бессрочной лицензии.

В 19:00 начинаем Selectel Admin Meetup.

Присоединяйтесь к трансляции, задавайте вопросы и общайтесь в чате с коллегами.

Смотрите трансляцию прямо в этом посте или переходите на YouTube.

Всем привет! Мы продолжаем обзор Redis — системы хранения данных в виде структур. 

Новая статья Петра, нашего DevOps-инженера, — это детальное руководство по базовой репликации Redis. Благодаря ему вы сможете настроить эту СУБД на высокий уровень отказоустойчивости. 

Если суперкратко:

• Репликация в Redis ассинхронна. 

• Репликация не блокируется на стороне мастера. 

• Репликация (почти) не блокируется на стороне слейвов. 

• У мастера может быть любое количество реплик.

• Каждый слейв может выступать мастером для другого инстанса.

А ещё в конце вас ждёт приятный бонус в виде разбора атаки на Redis через H2Miner, из-за которой можно полностью потерять данные на инстансе Redis

Нажмите сюда, что начать читать.

Компания «1С» объявила о выпуске обновлённой платформы «1С:Предприятие» 8.3.25, предназначенной для автоматизации процессов документооборота, ведения бухгалтерского учёта, управления предприятиями различных сфер деятельности и решения прочих задач в корпоративной среде.

В новой версии 8.3.25 программного комплекса появились средства синтеза речи, функционирующие в паре с облачным сервисом «1C».

Также дальнейшее развитие получили инструменты кластеризации серверов и коммуникационные возможности. Разработчики выполнили ряд доработок для упрощения эксплуатации решений на платформе «1С:Предприятие» в корпоративных облачных средах.

В обновлённый состав продукта вошла финальная версия хранилища двоичных данных, для взаимодействия с которым теперь необходимы лицензии уровня «Корп».

Отдельное внимание разработчиками было уделено оптимизации платформы и повышению скорости её работы. В частности, были ускорены операции «Проверка модулей» и «Проверка конфигурации», выполняемые в конфигураторе, улучшена работа с временными таблицами, снижена сетевая нагрузка при работе кластера серверов «1С:Предприятия» за счёт использования кеша кластерных данных, уменьшено время запуска автономного сервера, оптимизирована репликация сервисов кластера и реализованы прочие доработки.

Привет, админы! 25 апреля проводим Selectel Admin Meetup.

Обсудим применение IAC для тестирования облачной платформы. Понаблюдаем за эволюцией установщиков ОС. Устроим дискуссию о том, кем становиться в 2024 году — DevOps-инженером или системным администратором.

Темы докладов и спикеры

Применяем IAC для тестирования облачной платформы — не terraform’ом единым
Олег Зайцев, архитектор клиентских решений, Selectel.

Эволюция установщиков ОС — нельзя автоматизировать?!
Александр Никифоров, старший системный администратор, Selectel.

Баттл «DevOps и системный администратор — в чем разница и куда стоит развиваться в 2024 году?»
Михаил Морев, старший эксперт по развитию DevOps-практик, Райффайзенбанк.
Александр Никифоров, старший системный администратор, Selectel.
Антон Алексеев, DevOps-инженер, Selectel.

Смотрите подробную программу и регистрируйтесь →

Состоялся релиз версии 2.0.5 открытого ПО для дистанционного управления сразу несколькими ПК под названием Remoter. Проект представляет собой графический интерфейс PAExec и robocopy, который позволяет управлять несколькими ПК по IP-адресам.

Удалённые компьютеры можно выключать и перезагружать, завершать в них различные процессы или расписать сценарии при сбое (например, перезагрузка, перезапуск процесса и так далее). Можно еще и отобразить все файлы управляемого устройства.

Друзья, у нас вышла заключительная часть серии «Б значит не Безумие, а Безопасность».

В финальной статье наш DevOps‑инженер Алексей покажет, как защитить ваши базы данных. В роли БД рассматривается PostgreSQL версии 14 с управлением через patroni.

Вы узнаете, как повысить скорость анализа потенциальных инцидентов, как настроить процессы шифрования дисков, как сгенерировать SSL‑сертификаты для базы данных и обеспечить их двухстороннюю проверку. А ещё познакомитесь с wal‑g-backup.

Если ещё не читали, то сейчас самое время;) Нажмите сюда, чтобы начать.

10 апреля 2024 года Softline пояснила текущую ситуацию по поводу ограничений в РФ облачных сервисов Microsoft.

Коллеги, мы предпринимаем все возможные и не возможные усилия, чтоб получить интересующую Вас информацию. Все вопросы Microsoft заданы, ответов не получено — коммуникации регулярно ведутся. Раз в неделю мы будем делать пост относительно статуса по бизнесу Microsoft даже если новостей не будет. Есть ожидание (не факт), что новости появятся не раньше конца апреля.

1 апреля 2024 года Softline пояснила, что американская корпорация пока не вводила ранее объявленных блокировок против российских корпоративных клиентов. «Блокировок облачных продуктов со стороны Microsoft по состоянию на 1 апреля не наблюдается», — отметили в пресс-службе Softline.

25 марта Softline пояснила, что вендор продолжает консультации с регуляторами для чёткого понимания, доступ к какому ПО и веб-службам должен быть ограничен.

19 марта Softline раскрыла, что Microsoft заблокирует доступ к 50 облачным продуктам на территории РФ.

15 марта 2024 года компания Microsoft предупредила российских корпоративных клиентов, что в рамках выполнения санкций ЕС с 20 марта 2024 года американской компании запрещено поставлять определённое ПО для управления или проектирования (включая облачные решения) для организаций, зарегистрированных в России. Список ПО Microsoft не предоставила.

Системным администраторам компаний из РФ рекомендовалось в кратчайшие сроки выполнить резервное копирование данных облачных продуктов MS.

Состоялся релиз утилиты для синхронизации файлов и резервного копирования Rsync 3.3.0, позволяющей минимизировать трафик за счёт инкрементального копирования изменений.

В качестве транспорта могут быть использованы ssh, rsh или собственный протокол rsync. Поддерживается организация работы анонимных rsync-серверов, оптимально подходящих для обеспечения синхронизации зеркал. Исходный код проекта распространяется под лицензией GPLv3.

Значительное изменение номера версии не связано с функциональными изменениями в нынешнем выпуске, а является отложенной реакцией на изменения в прошлой версии 3.2.7.

В Rsync 3.3.0 в основном выполнено исправление ошибок. Репозиторий проекта на GitHub перенесён из аккуаунта сопровождающего WayneD в отдельную организацию RsyncProject. Также сообщается о формировании новой команды сопровождающих rsync из-за нехватки времени у нынешнего сопровождающего.

Примечательно, что в команду проекта вернулись Эндрю Триджелл (Andrew Tridgell), основатель проектов samba и rsync, а также Пол Маккеррас (Paul Mackerras), один из первых разработчиков rsync, принимавших в 1996 году участие в создании протокола rsync.

Изменения в Rsync 3.3.0:

• в утилиту rrsync (restricted rsync) добавлена опция "-no-overwrite", запрещающая перезапись существующих файлов в целевом каталоге;

• вспомогательные скрипты mapfrom и mapto, написанные на языке Perl, переписаны на Python и объединены в общий скрипт idmap;

• переписан на языке Python perl-скрипт mnt-excl.

Источник: OpenNET.