Администрирование

В сетевой подсистеме ядра Linux выявлена уязвимость (CVE-2023-42752), позволяющая через манипуляции с сетевыми сокетами в пространстве пользователя перезаписать содержимое памяти ядра, что потенциально может использоваться для организации выполнения непривилегированным пользователем своего кода на уровне ядра. Уязвимость является локальной и не может быть эксплуатирована удалённо по сети. Включение механизма защиты SMAP (Supervisor Mode Access Prevention) в ядре блокирует проблему.

Уязвимость вызвана целочисленным переполнением в функции ядра Linux "__alloc_skb", обеспечивающей выделение памяти для структуры sk_buff (socket buffer), которая используется для хранения сетевых пакетов. Переполнение возникает из-за отсутствия должной проверки получаемых от пользователя параметров, применяемых для вычисления размера буфера. Для совершения атаки непривилегированным пользователем требуется доступ к созданию пространств имён идентификаторов пользователя (user namespace), которые могут предоставляться, например, в изолированных контейнерах.

Уязвимость вызвана изменением, внесённым в ядро 6.2, но данное изменение было бэкпортировано во все LTS-ветки, поэтому уязвимость проявляется и в более ранних выпусках поддерживаемых стабильных веток ядра. Исправления, блокирующие уязвимость, приняты в состав стабильных веток ядра 5 сентября и вошли в состав выпусков 6.1.53, 6.5.3, 6.4.16, 5.15.132 и 5.10.195.

Источник: OpenNET.

Базовая настройка шифрования в Cisco ASA

Первым делом после установки лицензии надо сгенерировать сертификаты и настроить шифрование для ASDM, эти же настройки дадут A+/A- в тесте от SSL Lab:

crypto key generate rsa modulus 2048
crypto key generate ecdsa elliptic-curve 256
ssl server-version tlsv1.2
ssl client-version tlsv1.2
ssl dh-group group14
ssl ecdh-group group19
ssl cipher default custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"
ssl cipher tlsv1.2 custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"

Настройки соответствуют рекомендациям Mozilla с добавлением ECDHE-RSA-AES128-SHA256 для максимальной совместимости. На ASA 5506/5508/5516 изменить server-version можно только через CLI из-за отсутствия DTLS 1.2 в этих платформах.

И бонусом SSH:

ssh version 2
ssh key-exchange group dh-group14-sha256
ssh cipher integrity custom hmac-sha2-256:hmac-sha1
ssh cipher encryption custom aes256-ctr:aes192-ctr:aes128-ctr

AES-GCM, ChaCha20-Poly1305 и Ed25519 появились только в 9.16, а настройки выше достаточно безопасны и работают в пока ещё актуальной версии 9.12 для ASA 5500-X.

17 сентября 2023 года исполнилось 32 года с момента формирования первого выпуска ядра Linux. Ядро Linux 0.01 имело размер 116 Кб в сжатом виде (62 Кб после переупаковки из tar.Z в tar.gz), включало 88 файлов и содержало 10239 строк исходного кода. По мнению автора проекта Линуса Торвальдса, именно момент публикации ядра 0.01, а не день анонсирования рабочего прототипа, является настоящим днём рождения Linux.

Источник: OpenNET.

Что я, как разработчик, должен знать о Kubernetes: https://full-stack.blog/kubernetes_for_software_developer.html

«Кинопоиск» нарастил свою долю на рынке онлайн-кинотеатров, заработав на нём 33,9% всей выручки, следует из данных TelecomDaily. В прошлом году его доля была 23,4%, ближайший конкурент — «Иви» — заработал 22,4%. В этом году доля «Иви» упала до 19,3%.

Yandex Cloud рассказал об организации корпоративного хранилища данных сервиса аренды самокатов «Юрент» в облаке. По словам облачного провайдера, сервис снизил нагрузку на инфраструктуру, ускорил обработку и выгрузку аналитических отчётов, начал изучать новые метрики о потреблении программных сервисов и на основе этих данных специалисты могут принимать решения, в каких регионах и городах нужно увеличивать присутствие. Об этом рассказали информационной службе Хабра в пресс‑службе Yandex Cloud.

В 2023 году компания приняла решение создать для операционных инструментов и adhoc‑запросов к рабочим базам данных отдельное хранилище (Data Warehouse, DWH) на базе Yandex Managed Greenplum и Managed ClickHouse. Благодаря этим инструментам, компания смогла оценивать supply hour — показатель того, сколько времени самокаты и велосипеды доступны для использования.

Первым шагом в создании новой инфраструктуры стал запуск микросервисной архитектуры с помощью Managed Service for Kubernetes для масштабирования доступных мощностей. В среднем каждый самокат отправляет 1 сообщение на сервер за 30 секунд, в день весь парк отправляет около 250 млн сообщений. Нагрузка на приложение зависит от сезона и от количества доступных для аренды самокатов: зимой, когда сервис работает только на юге, их число сокращается до 15 тысяч, а летом превышает 100 тысяч.

В планах сервиса постепенный переход на managed‑решения, позволяющие сосредоточиться на улучшении качества и расширении функциональности сервиса.

Группа компаний Applite рассказала о миграции 2,1 тысячи автоматизированных рабочих мест и касс в 400 магазинах сети в 101 населенном пункте группы компаний «Командор» на операционную систему(ОС) «Атлант». По словам Applite, миграции была связана с необходимостью управления большой распредёленной IT‑инфраструктурой без увеличения бюджета на администрирование. Об этом информационной службе Хабра рассказали в пресс‑службе Applite.

Архитектура управления IT‑инфраструктурой в ГК «Командор» реализована в виде каскада с локальными серверами репликации. Серверы хранят конфигурации программного обеспечения, забирая их с центрального сервера. Это позволяет проводить обновление и восстановление ПО для множества машин одновременно по локальной сети и снизить зависимость от скорости каналов передачи данных. Инженеры «Атланта» разработали роли сотрудников и процессов, для управления централизованно.

Команда разработчиков «Атланта» разработала и развернула решение по управлению IT‑инфраструктурой. Инженеры обеспечили совместимость со специализированным торговым оборудованием.

ОС «Атлант» представляет собой программный комплекс с централизованной системой удалённого управления рабочими станциями под названием LayerPIE. По словам разработчиков, LayerPIE позволяет устанавливать, обновлять, удалять ПО, централизованно обновлять ядро операционной системы, переносить пользовательские данные и персональные настройки ПО и многое другое. В основе ОС «Атлант» лежит Debian Buster с LXQt.

Как урезать расходы на виртуальные машины на 35% и заставить разработчиков ночью спать, а не работать?

Решил пройтись по документации Yandex Cloud и случайно наткнулся на сервис Cloud Apps. Ознакомился со списком приложений и больше всего заинтересовал VM Watchdog. С помощью VM Watchdog можно выключать и включать виртуальные машины по расписанию. Время задается в формате crontab.

Насколько я понял, VM Watchdog является "надстройкой" над Cloud Functions. Ранее я не использовал возможности Cloud Functions, но слышал, что с помощью него можно запускать и останавливать виртуальные машины назначенным триггером. Но я не знал, что триггером может быть расписание.

Так, например, можно останавливать сервер с Gitlab Runner (или даже с OpenVPN!) по ночам, так как в такое время все разработчики спят и виртуальная машина простаивает.

ГК «Астра» и ГК Key Point подписали соглашение о сотрудничестве. В рамках соглашения, планируется проведение пилотных проектов по построению инфраструктуры центров обработки данных на базе технологических решений участников. Подписание соглашения состоялось в рамках Восточного экономического форума, проходящего во Владивостоке с 10 по 13 сентября 2023 года. Об этом рассказали информационной службе Хабра в пресс‑службе ГК «Астра».

С 2021 года ГК Key Point занимается проектом по созданию региональной сети дата‑центров. В первую очередь проекта был создан ЦОД уровня надёжности Tier III на 440 стоек во Владивостоке, запущенный в эксплуатацию в феврале 2023 года. Сейчас идёт строительство второй очереди проекта, всего в проекте создание 35 объектов на 10 тысяч стоек. Из этих объектов 4 ЦОДа будут размером от 400 до 1,2 тысячи стоек. Кроме Владивостока, в города, где будут находиться ЦОДы, вошли Новосибирск, Екатеринбург и Ставрополь. Также ЦОДы меньшим количеством, от 50 до 400 стоек, заявлены в других не озвученных городах России.

По словам представителей ГК «Астра», в этих ЦОДах инфраструктура создана на основе серверной OC Astra Linux, комплекса средств виртуализации «Брест» и ПО для администрирования IT‑инфраструктур ALD Pro.

Группа компаний (ГК) «Астра» и компания «Такском», заявили об успешном завершении тестирования ОС Astra Linux Special Edition 1.7 и приложения «Такском‑Агент» 3.1.8. После серии испытаний эксперты гарантируют затирание удаляемых данных. Решение компании «Такском» было сертифицировано в рамках программы технологической кооперации IT‑производителей Ready for Astra. Об этом информационной службе Хабра рассказали в пресс‑службе ГК «Астра».

ПО «Такском‑Агент» представляет собой приложение‑посредник между компьютером пользователя ПО «Онлайн‑Спринтер» и ПО «Такском‑Файлер». Решение выполняет криптографические операции (подписание документов, проверку электронной подписи, шифрование и расшифровку), автозагрузку файлов в онлайн‑сервисы, а также настройку рабочего места для полноценного их применения. Сами ПО «Онлайн‑Спринтер» и ПО «Такском‑Файлер».

«Онлайн‑Спринтер» и «Такском‑Файлер» работают в браузере, но для прохождения авторизации и заверения с помощью электронной подписи отправляемых и получаемых документы нужен криптопровайдер «КриптоПро». С криптопровайдером «Такском‑Файлер» и «Онлайн‑Спринтер» взаимодействуют только через «Такском‑Агент».

Вебинар на тему "Как эффективно решить задачу построения платформы виртуализации и хранения данных на базе российского ПО".

Дата вебинара: 26 сентября 2023 г. (вторник)

Время: с 10:00 – 11:30

О вебинаре:

Мероприятие будет посвящено вопросам импортозамещения систем виртуализации. Фактически, в рамках вебинара будет раскрыта тема перехода с иностранных систем виртуализации (VMware; Microsoft Hyper-V) на российские решения, в частности на решения компании «Росплатформа».

В программе вебинара:

• Почему нельзя ломать то, что работает и как построить «правильную» инфраструктуру для виртуальных машин рядом с существующей;

• Почему для виртуализации больше не нужно использовать монолитные СХД;

• Обзор продуктов Росплатформа «Р-Хранилище» и «Р-Виртуализация»;

• Экосистема совместимого ПО от российских разработчиков;

Спикер: Сергей Члек, Управляющий директор «Росплатформа»

Участие в вебинаре бесплатное.

https://webinar.rosplatforma.ru/

Компания «Яндекс 360» и альянс Major Logistics рассказали о переезде последней на платформу «Яндекс 360 для бизнеса». Переезд 2 тысяч сотрудников происходил за один день. В Альянс Major Logistics входят Major Cargo Service, Major Terminal и Major Express. Всего в альянсе 70 офисов и 5 складских комплексов по разным городам. Об этом информационной службе Хабра рассказали в пресс‑службе «Яндекс 360».

Для смены поставщика услуг и сохранения доступа к коммуникациям Major Logistics решил перевести всех сотрудников единоразово. Главный инструмент у Major Logistics — это электронная почта. По ней сотрудники обмениваются документами, оперативной информацией, согласовывают условия отгрузок и заказов. Большая часть внутренней коммуникации также происходит по почте. Для переезда шаблон в CSV‑файле заполнили данными пользователей и загрузили в профиль организации в «Яндекс 360 для бизнеса».

24 августа 2023 года транспортно‑логистическая группа «Монополия» также перевела бизнес‑процессы на платформу «Яндекс 360 для бизнеса». На новые сервисы компания перевела также коммуникацию внутри команды с партнёрами и клиентами.

Минцифры внесло проект постановления с говорящим номером 141488 "О внесении изменений в постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101", которым будет запрещено распространение «информации о способах, методах обеспечения доступа ‎к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации;».

По сути это позволит РКН блокировать сайты с описанием как пользоваться VPN. Вполне вероятно, это накроет и ресурсы типа antifilter, поэтому если пользуетесь — убирайте пиринг с ними внутрь вашего существующего туннеля.

А учитывая, что эти умные люди еще и с VPN как классом борются, не задумываясь, что большинство в стране использует VPN для доступа к иностранным ресурсам, заблокировавшим доступ к себе из РФ, то и туннели придется переводить на что-нибудь типа shadowsocks, SSTP и т.п.

Опубликован сервер приложений NGINX Unit 1.31.0, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js, WebAssembly и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке С и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска.

Источник: OpenNET.

Так получилось, что я мигрирую с одного дистрибутива на другой в среднем каждые 5 лет.

Думаю, не нужно объяснять, что за красные стрелки внизу. Но в одном месте я слукавил - на самом деле с Ubuntu меня сковырнул не Unity (хотя если бы я просидел ещё пару лет, то причиной был бы именно он) - мне не понравился строгий и холодный дизайн "десятки", да и хотелось двигаться к корням.

Debian я люблю и по сей день и это мой основной дистрибутив на своих серверах, но для Desktop'а на тот момент стало не хватать современного ПО. Собирать было муторно, а Flatpak'и тогда ещё не изобрели + всё громче гремел Arch.

Надо сказать, что гремел он вполне заслуженно. KISS, который он пропагандировал, лучшая WIKI, самые свежие версии ПО, самая обширная библиотека неофициального ПО - AUR. Дистрибутив был во многих отношениях самый-самый и я сразу же влюбился! А простота установки в отсутствие привычного инсталлятора придавали Arch'у шарма.

Шло время. Я долго не мог до конца понять криков вокруг systemd, который конечно же моментально оказался в Arch'е, но со временем стал замечать как cron превратился в timerd, ntp - в timesyncd, приплыл systemd-resolved. Когда я обнаружил ненужный мне homed, а потом прочитал что это - это стало последней каплей. Мне надоело отлавливать, что нового переизобретут в systemd, мне не хочется дополнительных дыр, не хочется бестолково-новых сервисов и синтаксиса. И теперь я рад пересесть на очень молодой и лёгкий дистрибутив Void Linux. Пятилетка пошла..

Расскажите ваш путь!

Western Digital отказалась отвечать на вопросы The Verge о проблеме с твердотельными накопителями SanDisk.

Журналисты спросили компанию, почему она до сих пор продаёт проблемные диски, будет ли бесплатно восстанавливать утраченные данные, предупреждает ли покупателей о рисках и т.д.

Глава отдела по связям с общественностью Western Digital Робин Шульц прислал следующий текст:

«В ответ на недавние сообщения об опасениях по поводу конкретных портативных твердотельных накопителей Western Digital мы хотим заверить наших уважаемых клиентов, что принимаем все необходимые меры для решения любых проблем, связанных с продуктами. Мы понимаем важность нашей продукции для клиентов и очень серьёзно относимся к этим вопросам. Мы проводим всесторонний обзор, чтобы получить полное представление о проблемах».

Western Digital не сообщила, когда представит результаты своей работы над проблемами.

Между тем на компанию уже подали в суд. Авторы коллективного иска ссылаются на мошенническую и недобросовестную деловую практику, а также другие нарушения.

Компании «Тантор Лабс» (входит в ГК «Астра») и ООО «Руми» начали сотрудничество в рамках программы технологической кооперации IT‑производителей Ready for Astra. Стороны будут вести сотрудничество в части проверки и обеспечения работоспособности своих решений. Об этом рассказали информационной службе Хабра в пресс‑службе ГК «Астра».

В июне 2023 года было проведено тестирование на совместимости СУБД Tantor и RPA‑решения ROOMY bots для автоматизации повторяющихся алгоритмических процессов с применением программных роботов. Испытания прошли успешно и зафиксированы сертификатом, удостоверяющим корректность работы указанных решений.

ROOMY bots представляет российское решение, включающим в себя функционал выявления и анализа рутинных операций для последующей роботизации и платформу для управления бизнес‑процессами.

Я на Хабр, и не с пустыми руками

Привет! Я не то чтобы профессиональный архитектор высоконагруженных решений, я просто люблю читать и анализировать. Люблю учиться у тех, кто умеет. Недавно нашёл на спецпросторах любопытную статью, которой хочу поделиться. Для вашего удобства мой друг сделал перевод.

Облачный провайдер T1 Cloud и ГК «Астра» заявили о предоставлении операционной системы Astra Linux в облаке T1 Cloud. ОС доступна в двух вариантах: базовый «Орёл» или с усиленной защитой конфиденциальных данных — «Воронеж». Об этом информационной службе Хабра рассказали в пресс‑службе ГК «Астра».

Услуга предоставляется по модели подписки с ежемесячной постоплатой, а пользователям сервиса предоставляется оперативная техническая поддержка от специалистов T1 Cloud в режиме 24 на 7 по телефону или электронной почте. По словам директора департамента по работе с партнёрами ГК «Астра» Антона Рудевского, T1 Cloud стал первым сервис‑провайдером, подписавшим соглашение о предоставлении ОС Astra Linux в облаке по подписке с оплатой постфактум.

Кроме T1 Cloud, Astra Linux предоставляется в облаках VK Cloud и «МегаФон Облаке».

Microsoft в тестовой сборке Windows 11 Insider Preview Build 25921 перешла на новый уровень эффективности в рамках работы с сетевой службой DHCP. Новая опция асинхронной обработки ошибок в службе DHCP-клиента позволит значительно сократить время отклика для некоторых запусков ipconfig/renew в командной строке Windows 11. Улучшения будут варьироваться в зависимости от состояния системы и сети, но в идеальных случаях время отработки команды уменьшится с ~4,1 секунды до ~0,1 секунды за каждый запуск.