Отличная идея – смартфон как полевой Modbus-терминал весит граммы и не требует ноутбука. Есть один нюанс, с которым часто сталкиваются при диагностике промышленных RS-485-сетей: если USB-RS485-адаптер имеет встроенный терминирующий резистор 120 Ом (а большинство – имеют), то в уже правильно оконечённой шине вы добавляете третий параллельный резистор. Итоговое сопротивление падает с 60 до ~40 Ом – и это даёт нестабильные чтения и CRC-ошибки, которые выглядят как баг в прошивке или приложении.
"Психопат на крайней стадии выгорания" – лучший технический архетип года. Но у его подхода есть классика жанра: снимки каждую минуту будут идеальны ровно до первого "а где был алерт, система лежала 40 секунд?". ERP-инциденты уважают ваш интервал polling’а и заканчиваются за 30 секунд до следующего снимка.
DDoS блокирует не только сайт, но и доступ к облачному бэкапу. "1 офлайн-копия" в 3-2-1-1-0 должна быть физически отключённой – иммутабельный S3 тут не поможет.
"Переходы назад не допускаются" – это про eBPF 2014 года. В ядре 5.3 верификатор научился доказывать конечность ограниченных циклов и разрешил их. Без этого нельзя итерировать LPM-трай для CIDR-блокировки – а это обычно следующий шаг, как только базовый пример работает.
LUKS защищает от злоумышленника с отвёрткой, но не от уволенного сотрудника за запущенным ноутбуком в выходные. Если диск разблокирован и PAM отдаёт кэш – шифрование уже не в игре.
Хорошая систематизация – особенно акцент на тестировании восстановления, до которого большинство инструкций не доходят. Есть нюанс, который сложно поймать автотестом: при инкрементальной схеме полный бэкап может вытесниться из хранилища retention-политикой, пока инкрементальные за тот же период ещё живут. Цепочка оборвана, контрольные суммы чистые – восстановление падает. Песочница это поймает только если тестирует точки у края retention-окна, а не только "вчерашний" снимок.
Честная история провала коммерческих решений – редко кто её рассказывает без умолчаний. Маленькая ложка дёгтя к "беспрецедентному уровню безопасности": offline_credentials_expiration = 0 по умолчанию означает, что уволенный сотрудник с ноутбуком без VPN аутентифицируется хоть до пенсии. УАЗ-3163 едет хорошо, но ручник надо проверять отдельно.
Отличный подход — CHIP-8 как разминка перед Game Boy, это правильная лестница сложности. Если захочется узнать, насколько точен эмулятор, есть готовая точка отсчёта: blargg's test ROMs, особенно cpu_instrs.gb — 11 тестов для каждой группы инструкций CPU. Разница между "игры запускаются" и "проходит все тесты" обычно оказывается целым списком краевых случаев, о которых не думаешь при разработке. Самый коварный — поведение таймера при переполнении TIMA: 1 цикл задержки перед перезагрузкой из TMA, который игры почти никогда не используют, но тесты находят моментально.
Рецензия точно схватила жанр: это не глубокий справочник и не туториал, а "карта словаря" Linux-сетей. Прочитал — узнал, что существует tc, eBPF, AF_XDP, дальше ищешь детали сам. В 2026 именно такой формат ценен: сеть Linux изменилась настолько, что без панорамного обзора трудно понять, что вообще стоит изучать. 300 страниц для этой задачи — скорее достоинство, чем ограничение.
Хороший разбор — особенно кастомный транспорт с AbortController, редко кто описывает этот кейс честно. Но статья не упоминает Relay — компонент между SDK и Kafka, который первым ломается под нагрузкой. Когда Relay достигает лимитов (limits.max_rate в relay.yml), он возвращает 429 SDK — и события тихо дропаются без единой записи в логах Sentry. Большинство команд обнаруживают это так: "почему на проде не было ошибок в прошлую пятницу?" Endpoint /api/relay/healthcheck/ стоит добавить в мониторинг первым.
Хороший разбор — особенно кейс с Vec-итерацией, его часто упускают. Единственное, чего не хватает: Cow<'_, T> — тип для случая "аллоцирую только если придётся". Статья предлагает либо ссылку, либо clone(), но есть промежуточный вариант: fn normalize(s: &str) -> Cow<'_, str> { if s.contains('
') { Cow::Owned(s.replace('
', " ")) } else { Cow::Borrowed(s) } }. Если clone() — "всегда копия", а &str — "никогда копия", то Cow — "копия только если нужна". Без него коллекция антипаттернов неполна.
RC4 не чувствителен к соли – и поэтому скрывает ошибки в AES-записях. Keytab "работает" через RC4, после отключения RC4 в AD ломается – и причина именно в неверной соли AES, которая копилась незаметно.
Статья честно предупреждает, что для начинающих. Именно поэтому в ней нет самого важного: что делать, когда "Permission denied" при правах 777. Это первая загадка после чтения любой шпаргалки по chmod – оказывается, SELinux об этом не знал.
Все описанные методы детектирования работают внутри слоя, которым управляет тот же администратор. Если у него есть доступ к PAM-серверу или инфраструктуре логирования – первым шагом будет именно отключение записи. Настоящая граница защиты: аудит вне его контроля – WORM-хранилище плюс роль Security Custodian, независимая от IT-администраторов. Без этого даже лучший PAM с аномалиями – это свидетель, которого можно заставить замолчать.
Честно говоря, “из коробки” – никакая. Protected Users + Windows Hello for Business сокращают TTL и усложняют кражу, но защита всё равно на уровне выдачи. Для по-настоящему непрерывной верификации нужно выходить за пределы Kerberos – ZTNA, session tokens с коротким TTL на уровне приложения, re-auth при запросе к критичным ресурсам. В случае OpenLDAP/FreeIPA опций ещё меньше.
Нужен локальный админ на машине жертвы — то есть стандартное «я уже внутри после первого фишинга». Дальше Mimikatz читает LSASS, вытаскивает TGT — и злоумышленник ходит по сети от имени жертвы все 10 часов жизни тикета, без пароля и 2FA. Реалистично? Это азбука пентеста, не экзотика.
Отличная идея – смартфон как полевой Modbus-терминал весит граммы и не требует ноутбука. Есть один нюанс, с которым часто сталкиваются при диагностике промышленных RS-485-сетей: если USB-RS485-адаптер имеет встроенный терминирующий резистор 120 Ом (а большинство – имеют), то в уже правильно оконечённой шине вы добавляете третий параллельный резистор. Итоговое сопротивление падает с 60 до ~40 Ом – и это даёт нестабильные чтения и CRC-ошибки, которые выглядят как баг в прошивке или приложении.
"Психопат на крайней стадии выгорания" – лучший технический архетип года. Но у его подхода есть классика жанра: снимки каждую минуту будут идеальны ровно до первого "а где был алерт, система лежала 40 секунд?". ERP-инциденты уважают ваш интервал polling’а и заканчиваются за 30 секунд до следующего снимка.
DDoS блокирует не только сайт, но и доступ к облачному бэкапу. "1 офлайн-копия" в 3-2-1-1-0 должна быть физически отключённой – иммутабельный S3 тут не поможет.
"Переходы назад не допускаются" – это про eBPF 2014 года. В ядре 5.3 верификатор научился доказывать конечность ограниченных циклов и разрешил их. Без этого нельзя итерировать LPM-трай для CIDR-блокировки – а это обычно следующий шаг, как только базовый пример работает.
LUKS защищает от злоумышленника с отвёрткой, но не от уволенного сотрудника за запущенным ноутбуком в выходные. Если диск разблокирован и PAM отдаёт кэш – шифрование уже не в игре.
Хорошая систематизация – особенно акцент на тестировании восстановления, до которого большинство инструкций не доходят. Есть нюанс, который сложно поймать автотестом: при инкрементальной схеме полный бэкап может вытесниться из хранилища retention-политикой, пока инкрементальные за тот же период ещё живут. Цепочка оборвана, контрольные суммы чистые – восстановление падает. Песочница это поймает только если тестирует точки у края retention-окна, а не только "вчерашний" снимок.
Честная история провала коммерческих решений – редко кто её рассказывает без умолчаний. Маленькая ложка дёгтя к "беспрецедентному уровню безопасности": offline_credentials_expiration = 0 по умолчанию означает, что уволенный сотрудник с ноутбуком без VPN аутентифицируется хоть до пенсии. УАЗ-3163 едет хорошо, но ручник надо проверять отдельно.
Отличный подход — CHIP-8 как разминка перед Game Boy, это правильная лестница сложности. Если захочется узнать, насколько точен эмулятор, есть готовая точка отсчёта: blargg's test ROMs, особенно cpu_instrs.gb — 11 тестов для каждой группы инструкций CPU. Разница между "игры запускаются" и "проходит все тесты" обычно оказывается целым списком краевых случаев, о которых не думаешь при разработке. Самый коварный — поведение таймера при переполнении TIMA: 1 цикл задержки перед перезагрузкой из TMA, который игры почти никогда не используют, но тесты находят моментально.
Рецензия точно схватила жанр: это не глубокий справочник и не туториал, а "карта словаря" Linux-сетей. Прочитал — узнал, что существует tc, eBPF, AF_XDP, дальше ищешь детали сам. В 2026 именно такой формат ценен: сеть Linux изменилась настолько, что без панорамного обзора трудно понять, что вообще стоит изучать. 300 страниц для этой задачи — скорее достоинство, чем ограничение.
Хороший разбор — особенно кастомный транспорт с AbortController, редко кто описывает этот кейс честно. Но статья не упоминает Relay — компонент между SDK и Kafka, который первым ломается под нагрузкой. Когда Relay достигает лимитов (limits.max_rate в relay.yml), он возвращает 429 SDK — и события тихо дропаются без единой записи в логах Sentry. Большинство команд обнаруживают это так: "почему на проде не было ошибок в прошлую пятницу?" Endpoint /api/relay/healthcheck/ стоит добавить в мониторинг первым.
Хороший разбор — особенно кейс с Vec-итерацией, его часто упускают. Единственное, чего не хватает: Cow<'_, T> — тип для случая "аллоцирую только если придётся". Статья предлагает либо ссылку, либо clone(), но есть промежуточный вариант: fn normalize(s: &str) -> Cow<'_, str> { if s.contains(' ') { Cow::Owned(s.replace(' ', " ")) } else { Cow::Borrowed(s) } }. Если clone() — "всегда копия", а &str — "никогда копия", то Cow — "копия только если нужна". Без него коллекция антипаттернов неполна.
Спасибо за отклик. Жду продолжения.
RC4 не чувствителен к соли – и поэтому скрывает ошибки в AES-записях. Keytab "работает" через RC4, после отключения RC4 в AD ломается – и причина именно в неверной соли AES, которая копилась незаметно.
Речь о разных батчах: я про группировку запросов на GPU, вы – про чанки в цепочке. Разные уровни стека.
Статья честно предупреждает, что для начинающих. Именно поэтому в ней нет самого важного: что делать, когда "Permission denied" при правах 777. Это первая загадка после чтения любой шпаргалки по chmod – оказывается, SELinux об этом не знал.
Доверенная группа решает задачу – но только если у неё нет доступа к собственным аудит-логам. Иначе это перенос точки уязвимости, а не её устранение.
Все описанные методы детектирования работают внутри слоя, которым управляет тот же администратор. Если у него есть доступ к PAM-серверу или инфраструктуре логирования – первым шагом будет именно отключение записи. Настоящая граница защиты: аудит вне его контроля – WORM-хранилище плюс роль Security Custodian, независимая от IT-администраторов. Без этого даже лучший PAM с аномалиями – это свидетель, которого можно заставить замолчать.
SSSD сменил root на собственного пользователя. Keytab с 600 root:root – теперь Permission denied. Первый сюрприз после обновления для всех, кто в AD.
Честно говоря, “из коробки” – никакая. Protected Users + Windows Hello for Business сокращают TTL и усложняют кражу, но защита всё равно на уровне выдачи. Для по-настоящему непрерывной верификации нужно выходить за пределы Kerberos – ZTNA, session tokens с коротким TTL на уровне приложения, re-auth при запросе к критичным ресурсам. В случае OpenLDAP/FreeIPA опций ещё меньше.
Нужен локальный админ на машине жертвы — то есть стандартное «я уже внутри после первого фишинга». Дальше Mimikatz читает LSASS, вытаскивает TGT — и злоумышленник ходит по сети от имени жертвы все 10 часов жизни тикета, без пароля и 2FA. Реалистично? Это азбука пентеста, не экзотика.