Все потоки
Поиск
Написать публикацию
Обновить
125
Карма
0
Общий рейтинг
Vladislav Yarmak@YourChief

11x engineer

Хабр Карьера
Отправить сообщение
ПрофильСтатьи21Посты1НовостиКомментарии751

PPP-over-HTTP/2: развлекаемся с dumbproxy и pppd

Уровень сложностиСредний
Время на прочтение5 мин
Охват и читатели14K
*nix * IT-инфраструктура * Сетевые технологии * Серверное администрирование * Системное администрирование *
Туториал
Перевод

В этой статье рассказано как подружить pppd и dumbproxy, получив в итоге PPP-тоннель внутри HTTP/2. Её можно одновременно рассматривать как руководство по настройке, журнал эксперимента, демо возможностей dumbproxy и просто пищу для удовлетворения любопытства.

Читать далее
Всего голосов 15: ↑15 и ↓0+16
Комментарии0

dumbproxy — что нового?

Уровень сложностиСредний
Время на прочтение5 мин
Охват и читатели11K
Сетевые технологии * СофтСистемное администрирование * Расширения для браузеровOpen source *

dumbproxy уже упоминался на Хабре в одной из моих прошлых статей. Это HTTP(S) прокси-сервер, который работает через TLS, напрямую совместим с браузерами и браузерными расширениями, и имеет заметное количество дополнительных функций, расширяющих его границы применимости и облегчающих его использование.

Читать далее
Всего голосов 22: ↑22 и ↓0+25
Комментарии25

Безопасный HTTPS-прокси менее чем за 10 минут

Время на прочтение5 мин
Охват и читатели201K
Информационная безопасность * Сетевые технологии * Расширения для браузеровБраузерыСофт
Туториал

Это руководство описывает развёртывание HTTPS-прокси с помощью dumbproxy на практически любом Linux-сервере. Потребуется только curl и рутовый доступ.

Читать далее
Всего голосов 44: ↑43 и ↓1+52
Комментарии93

Снимаем шифрование nthLink VPN

Время на прочтение6 мин
Охват и читатели32K
СофтРеверс-инжиниринг * Сетевые технологии * Криптография * Информационная безопасность *
Перевод

Заметка о nthLink VPN, его внутренностях и его катастрофическом провале в криптографии.

Читать далее
Всего голосов 15: ↑15 и ↓0+15
Комментарии16

Босяцкий кластер высокой доступности

Время на прочтение8 мин
Охват и читатели21K
Высоконагруженные системы * Системное администрирование * Nginx * Сетевые технологии *
Туториал
Перевод

Крайне минималистичная схема кластера высокой доступности, требующая только 2 сервера и ничего более. Пригодна в том числе для серверов у разных хостеров или в разных датацентрах. Позволяет решить вопрос отказоустойчивости для балансировщика, так чтобы он сам не был единой точкой отказа.

Читать далее
Всего голосов 37: ↑32 и ↓5+38
Комментарии41

Защищённые прокси — практичная альтернатива VPN

Время на прочтение9 мин
Охват и читатели132K
СофтСетевые технологии * Информационная безопасность * Google ChromeFirefox
Технотекст 2020

В интернете есть достаточное количество информации по теме шифрования и защиты трафика от вмешательств, однако сложился некоторый перекос в сторону различных VPN-технологий. Возможно, отчасти он вызван статьями VPN-сервисов, которые так или иначе утверждают о строгом превосходстве VPN-решений перед прокси. При этом многие решения тех же VPN-провайдеров, не смотря на маркетинговое позиционирование в качестве VPN, технически являются прокси.

На практике прокси больше подходят для повседневной защиты веб-трафика, не создавая при этом неудобств в виде заметной потери скорости и неизбирательности туннелирования. То есть при использовании хорошего прокси не стоит необходимость его отключать для комфортного пользования интернетом.

В этой статье расказано о преимуществах защищённого прокси перед VPN и предложены различные реализации, готовые к использованию.
Читать дальше →
Всего голосов 23: ↑22 и ↓1+27
Комментарии52

Full disclosure: 0day vulnerability (backdoor) in firmware for Xiaongmai-based DVRs, NVRs and IP cameras

Время на прочтение6 мин
Охват и читатели106K
Реверс-инжиниринг * Криптография * Информационная безопасность * ВидеотехникаIT-инфраструктура *

This is a full disclosure of recent backdoor integrated into DVR/NVR devices built on top of HiSilicon SoC with Xiaongmai firmware. Described vulnerability allows attacker to gain root shell access and full control of device. Full disclosure format for this report has been chosen due to lack of trust to vendor. Proof of concept code is presented below.
Read more →
Всего голосов 13: ↑12 и ↓1+17
Комментарии15

Взлом и защита шифрования дисков LUKS

Время на прочтение8 мин
Охват и читатели69K
*nix * Информационная безопасность * Настройка Linux * Серверное администрирование * Хранение данных *

Шифрование дисков предназначено для защиты данных в компьютере от несанкционированного физического доступа. Бытует распространённое заблуждение, что дисковое шифрование с этой задачей действительно справляется, а сценарии, в которых это не так, представляются уж слишком экзотическими и нереалистичными. В этой статье показано, что извлечение мастер-ключа шифрованного тома LUKS легко осуществимо на практике, и предложен (давно не новый) метод защиты.
Читать дальше →
Всего голосов 42: ↑40 и ↓2+36
Комментарии31

MTA-STS для Postfix

Время на прочтение5 мин
Охват и читатели15K
Мессенджеры * Системное администрирование * Серверное администрирование * Информационная безопасность * IT-инфраструктура *
Туториал
MTA-STS — это предложенный стандарт RFC8461, вышедший из статуса черновика и официально опубликованный 26 сентября 2018 года. Этот стандарт предлагает механизм обнаружения возможности для использования полноценного TLS между почтовыми серверами, с шифрованием данных и аутентификацией сервера. То есть, этот стандарт практически полностью защищает от вмешательства в почтовый трафик между серверами.

Упрощённо, суть стандарта в следующем:

  1. Поддерживающие его почтовые сервисы публикуют политику (1 TXT-запись и 1 HTTPS-ресурс для каждого домена).
  2. Почтовые сервисы при отправке почты в другие домены производят обнаружение политики домена-получателя.
  3. Почтовые сервисы соединяются с почтовым сервером домена-получателя, применяя ограничения к TLS, задаваемые обнаруженной политикой, если таковая нашлась.

Существуют неплохие статьи (например), рассказывающие про сам стандарт и для чего он нужен, сравнивающие MTA-STS с другими аналогичными инициативами, и даже показывающие как составить и опубликовать политику. Но найти, как продвинуться дальше первого шага, оказалось не так-то просто.
Читать дальше →
Всего голосов 7: ↑7 и ↓0+5
Комментарии22

PHP: Хранение сессий в защищённых куках

Время на прочтение5 мин
Охват и читатели28K
PHP * Symfony * Криптография * Веб-разработка *
На некоторой стадии развития веб-проекта возникает одна из следующих ситуаций:

  • backend перестаёт помещаться на одном сервере и требуется хранилище сессий, общее для всех backend-серверов
  • по различным причинам перестаёт устраивать скорость работы встроенных файловых сессий

Традиционно в таких случаях для хранения пользовательских сессий начинают использовать Redis, Memcached или какое-то другое внешнее хранилище. Как следствие возникает бремя эксплуатации базы данных, которая при этом не должна быть единой точкой отказа или бутылочным горлышком в системе.

Однако, есть альтернатива этому подходу. Возможно безопасно и надёжно хранить данные сессии в браузерной куке у самого пользователя, если заверить данные сессии криптографической подписью. Если вдобавок к этому данные ещё и зашифровать, то тогда содержимое сессии не будет доступно пользователю. Главное достоинство этого способа хранения в том, что он не требует централизованной базы данных для сессий со всеми вытекающими из этого плюсами в виде надёжности, скорости и масштабирования.
Читать дальше →
Всего голосов 42: ↑36 и ↓6+28
Комментарии108

0day уязвимости в lshell

Время на прочтение3 мин
Охват и читатели8K
Системное администрирование * Оболочки * Настройка Linux * *nix *
lshell — это оболочка, которая ограничивает команды и пути файловой системы, доступные пользователю. Её прочат как альтернативу сложной настройки chroot:

и так далее, имеется множество источников, предлагающих её к использованию.

Приложение доступно в репозиториях Ubuntu, Debian и EPEL.
Читать дальше →
Всего голосов 16: ↑15 и ↓1+12
Комментарии10

Фильтр Блума для веб-разработчиков

Время на прочтение4 мин
Охват и читатели18K
Алгоритмы * Высоконагруженные системы * Веб-разработка *
На хабре уже немало рассказано про фильтр Блума. Напомню, что это структура данных, которая позволяет проверить принадлежность элемента ко множеству, не храня при этом сам элемент. Существует вероятность ложно-положительного ответа, но отрицательный ответ всегда достоверен. В фильтре с точностью 1% требуется всего лишь несколько бит на элемент.

Эта структура часто применяется для ограничения числа запросов к хранилищу данных, отсекая обращения за элементами, которых там заведомо нет. Кроме того, её можно применять для примерного подсчёта числа уникальных событий, пользователей, просмотров и т.д. Больше примеров интересных применений.

Однако есть трудности, которые могут сдерживать веб-разработчиков от применения фильтра Блума.
Читать дальше →
Всего голосов 16: ↑14 и ↓2+12
Комментарии11

«Щадящая» балансировка между несколькими провайдерами на офисном шлюзе

Время на прочтение9 мин
Охват и читатели24K
Настройка Linux * Сетевые технологии * Системное администрирование *
Туториал
Эта статья описывает конфигурацию шлюза под управлением Linux для балансировки трафика между каналами разных провайдеров.


Результат, достигаемый в этом руководстве, отличается от результата подобных руководств: для каждого клиента используется один и тот же внешний IP-адрес, что избавляет от проблем с интернет-сервисами, которые не готовы к смене IP-адреса клиента в рамках одной сессии.
Читать дальше →
Всего голосов 13: ↑13 и ↓0+13
Комментарии19

Эффективное кодирование видео в Linux c Nvidia NVENC: часть 2, дополнительная

Время на прочтение7 мин
Охват и читатели26K
Реверс-инжиниринг * GPGPU *


В первой части я рассказал о кодировании видео в Linux с использованием Nvidia NVENC. Как уже упоминалось ранее, Nvidia для десктопных видеокарт ограничивает количество потоков кодирования до двух сессий на систему. Данная часть посвящена борьбе с этим ограничением.
Читать дальше →
Всего голосов 22: ↑21 и ↓1+20
Комментарии20

Эффективное кодирование видео в Linux c Nvidia NVENC: часть 1, общая

Время на прочтение4 мин
Охват и читатели31K
GPGPU * Высоконагруженные системы *

Эта статья содержит практические сведения, полезные для организации эффективного кодирования видео на Linux с использованием последних видеопроцессоров Nvidia.
Чем не является эта статья:
  • Не является пособием по выбору технологии аппаратного кодирования или агитацией в пользу описываемой. Кроме Nvidia NVENC есть Intel QuickSync, есть AMD VCE, наверняка есть и ещё что-то. Все эти технологии имеют разные характеристики, которые трудно даже уложить на одну шкалу для сравнения. Тем не менее, я сделал свой выбор.
  • Не является претензией на самый быстрый/качественный способ кодирования. По причинам, указанным выше.
Читать дальше →
Всего голосов 19: ↑17 и ↓2+15
Комментарии21

Легкозапоминаемый шорткат к кэшу гугла

Время на прочтение1 мин
Охват и читатели12K
Я пиарюсь
Получив 404 на одном из форумов, я потратил своё время и решил поберечь впредь чужое.

saved.website

У меня всё.

UPD: Добавился и Яндекс.
Всего голосов 191: ↑132 и ↓59+73
Комментарии30

Пассивный фингерпринтинг для выявления синтетического трафика

Время на прочтение3 мин
Охват и читатели31K
*nix * Системное администрирование *
imageЯ достаточно долгое время вынашивал идею рассмотреть клиентов публичного web-сервиса, браузер которых посылает заголовок User-Agent как у браузера в Windows, и которые при этом имеют все признаки сетевого стэка *nix-систем. Предположительно, в этой группе должна быть большая концентрация ботов, запущенных на недорогих хостингах для накрутки трафика или сканирования сайта.
Читать дальше →
Всего голосов 32: ↑26 и ↓6+20
Комментарии43

Дисковая балансировка в Nginx

Время на прочтение4 мин
Охват и читатели25K
Nginx *

В этой статье я опишу интересное решение на базе Nginx для случая, когда дисковая система становится узким местом при раздаче контента (например, видео).
Читать дальше →
Всего голосов 41: ↑34 и ↓7+27
Комментарии60

OpenVZ + venet + vlan/адреса из разных сетей

Время на прочтение5 мин
Охват и читатели12K
Виртуализация *
Туториал
Этот пост посвящён назначению контейнерам OpenVZ адресов из разных сетей на интерфейсе venet. Я решил написать этот пост потому, что видел как эту задачу решали другие специалисты неказистыми способами или же вовсе отказывались от использования venet.
Читать дальше →
Всего голосов 16: ↑16 и ↓0+16
Комментарии15

Burn-in рутовый шелл в IP-камерах Vesta и не только

Время на прочтение5 мин
Охват и читатели62K
Информационная безопасность *
Так получилось, что передо мной встала задача записывать и хранить видео с IP-камер. Были закуплены и смонтированы камеры Vesta VC-6206 IR без представления архитектуры информационной системы на их основе. Совсем короткий период эксплуатации показал, что камеры имеют свойство зависать и неплохо бы их перезагружать периодически. nmap показывал, что у камеры доступен только telnet, http и rtsp. Ребутать камеру телнетом по крону показалось мне неплохим решением, но рутовый пароль техподдержка дать отказалась.
Читать дальше →
Всего голосов 73: ↑64 и ↓9+55
Комментарии29
НазадСюда
1
2

Информация

В рейтинге
Не участвует
Откуда
Одесса, Одесская обл., Украина
Зарегистрирован
Активность

Специализация

Технический директор
Ведущий
От 15 000 $
Golang
Python
Базы данных
Linux
Системное программирование
Системное администрирование

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2026, Habr