Обновить
16K+
6
Евгений Солодовник@Granulex

Пишу о Linux-каталогах, гранулярном восстановлении

4,1
Рейтинг
10
Подписчики
Отправить сообщение

«Тесты зелёные, принимаем» – самый короткий путь в прод существовал задолго до LLM. Вайб-кодинг не сломал процесс ревью, он просто показал, что в большинстве команд этот процесс давно был номинальным.

«Тесты зелёные, принимаем» – самый короткий путь в прод существовал задолго до LLM. Вайб-кодинг не сломал процесс ревью, он просто показал, что в большинстве команд этот процесс давно был номинальным.

Возможно, дело не в O(n) у iptables, а в том, что архитектура из 50 микросервисов на один запрос – сама по себе сигнал. eBPF делает эту цепочку быстрее и прозрачнее, а заодно впервые показывает её реальную стоимость: в крупных корпоративных кластерах переход на Cilium часто обнажает именно накопленный долг в виде избыточной гранулярности сервисов без реального разделения ответственности.

Техника обновления вредоносного коммита каждые несколько часов – не случайность: это сброс таймера для автоматических фильтров, которые ловят недавно изменённые репозитории. Параллельно жертва числится контрибьютором в копии своего же проекта – случайный посетитель видит знакомое имя и снижает бдительность. Два механизма доверия, задействованных одновременно.

Автор случайно переоткрыл out-of-band management – принцип, который в серверном мире реализован через IPMI и iDRAC ещё с 90-х: управление идёт по отдельному каналу, не зависящему от состояния основного сервиса. Архитектурно это правильно. Нюанс один: весь этот отдельный канал теперь завязан на Telegram – и если у Дурова ляжет инфраструктура или откроется новый раунд блокировок, панель управления пропадёт именно тогда, когда нужна.

Пепси начинала именно с чужого завода – разливала на мощностях независимых бутилировщиков, пока не сформировала свою аудиторию. Нарратив сначала, инфраструктура потом: работает и в туризме.

Threat Hunting начинается не с методологии, а с честного ответа: а у нас вообще есть данные, в которых можно что-то найти?

Значит, вместо тридцати придуманных примеров – пятьсот сгенерированных, и всё зелёное. Только свойство было "не вызывает исключение". Hypothesis добросовестно проверил это на пустых строках, суррогатных парах и отрицательном нуле. Хорошо протестированный баг.

По той же логике Pepsi и Coca-Cola – одинаковые, потому что оба коричневые и газированные. Суть не в наборе активов, а в том, кто первым придумал, как это называть и кому продавать.

Passthrough-режим, с которого начинают авторы, часто недооценивают: он даёт сквозное шифрование, при котором даже сам mesh не видит содержимое трафика до базы данных. Как только вы переходите к терминации TLS на Egress Gateway, шлюз становится посредником – доверенным, но всё же. В средах с высокими требованиями этот компромисс между наблюдаемостью трафика и сквозной защитой нередко остаётся за кадром при проектировании.

Провал провайдера описан как следствие плохих решений, но первопричина глубже: oVirt API проектировался как инструмент для людей – "запусти", "останови", "перенеси". Terraform же ожидает API для автоматики – "скажи мне текущее состояние, и я сам разберусь, что изменить". Когда API не умеет нативно отвечать на вопрос "что есть сейчас", провайдер вынужден строить эту логику сам поверх набора действий – и именно здесь начинается весь описанный хаос с состояниями и разбиением на ресурсы. Это не проблема конкретного провайдера, это структурное ограничение любой попытки обернуть в Terraform систему, созданную до эпохи "инфраструктура как код".

Весь путь ingress-nginx → Traefik → Gateway API наглядно показывает: настоящая технологическая зависимость в Kubernetes давно не в контроллере, а в аннотациях прямо в манифестах сервисов.

Классика жанра: пока идея лежит на полке, она одновременно гениальна, окупаема и уже победила конкурентов. Шрёдингеровский стартап – жив, пока не открыл коробку.

Параграф 3.2.2.12.2 EV Guidelines распространяется только на Extended Validation сертификаты – их в российском сегменте единицы, никак не десятки тысяч. Количество действующих EV-сертификатов на .ru-доменах можно проверить через публичные логи Certificate Transparency: там их не более нескольких сотен. Let's Encrypt при этом EV вообще не выдаёт, так что его упоминание в одном ряду с GlobalSign – либо ошибка источника, либо речь о каком-то отдельном решении за рамками этого параграфа.

Двадцать пять лет спустя выясняется, что главный технический долг LibreOffice – это не код, а метаданные. Сотня встроенных библиотек в `external/`, загруженных ещё во времена OpenOffice.org, не имеет ни манифестов, ни внятного учёта версий – и никакой автоматике это не починить без ручной работы. CRA требует SBOM, ФСТЭК требует перечень компонентов, а в репозитории сидит скопированный без описания исходник из 2004 года. Прогресс!

Вы правы в главном: DNS и NTP – это базовая инфраструктура, их обычно не «запрещают». И если безопасник требует согласовывать DNS как отдельный доступ – это странно.

Но из песни слов не выкинешь: в реальных проектах сервер решения иногда оказывается в другой сетевой зоне (DMZ, изолированный контур, облако). И тогда даже до DNS и NTP доступ нужно открывать явно – с указанием портов, протоколов и направления. Не потому что «ИБ тупой», а потому что маршрутизация между зонами этого не предусматривает по умолчанию.

Так что да – если у вас всё в одной зоне и DNS с NTP доступны всем, статья звучит как «о чём вы вообще». А если зоны разные – тогда даже базовые сервисы попадают в таблицу согласования.

Схема и матрица в статье как раз для второго случая. Для первого – просто листайте дальше.

  1. SSH на контроллер домена действительно не нужен. Установщик (ipa-client-install и аналоги) работает через Kerberos/RPC, а не SSH. По сути: права root нужны на самом сервере решения, а не на контроллере.

  2. По умолчанию доменный администратор не имеет sudo на клиентах – это правда. В RHEL-подобных системах локальная группа wheel решает, кто может sudo, а доменный пользователь туда не входит до явного добавления. Можно через PolicyKit или SSSD, но из коробки – нет.

Оба ваши замечания в цель. Статья от этого не ломается (главное там про порты и согласование с ИБ), а вот точности добавили.

"Просто продлевай хостинг и ставь обновления CMS" – разумно на словах, но на практике брошенная CMS без регулярного ухода за полгода превращается в источник спама или площадку для фишинга, и тогда хостер сам снесёт сайт раньше, чем автор вернётся. Если цель – сохранить контент без усилий на годы, правильнее сделать статический дамп через wget или HTTrack и выложить на GitHub Pages: ноль уязвимостей, ноль расходов, ноль администрирования.

Возможно, дело не в забытой схеме, а в том, что ИБ-согласование и архитектурное проектирование живут в разных временных горизонтах. Схема портов готова только когда архитектура зафиксирована – а значит, любой отказ ИБ автоматически становится блокером старта, а не входным фильтром. Если приносить схему поэтапно – "минимум для запуска", "что добавится при репликации", "финальный список" – ИБ успевает обработать заявки без срыва сроков.

`window.Config = <?= json_encode($data, JSON_HEX_TAG) ?>` – и переменная в отдельном файле есть. Это один абзац, а не статья.

1
23 ...

Информация

В рейтинге
1 523-й
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность