Довольно часто в последнее время на разных форумах и чатах люди жалуются, что когда они пользуются VPN или прокси, то у них после подключения на устройствах как-то странно начинают работать некоторые приложения. Например, не приходят сообщения в WhatsApp, не загружаютя сторис в Instagram, и другие подобные вещи. Причем нередко проблема чинится сама по себе спустя 10-15 минут после подключения, но после переподключения или переоткрытия клиента начинается снова. Иные жалобы состоят в том, что не смотря на то, что пользователь выходит в интернет через VPN или прокси, некоторые заблокированные сервисы и сайты у него все равно не открываются. И в том и в том обычно винят баги прокси/VPN-клиентов, администраторов серверов, и кого угодно еще. И я вам скажу: зря. Все гораздо проще и гораздо сложнее одновременно.
Системное администрирование *
Лишь бы юзер был доволен
Новости
Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера
В последние недели я, работая в системах с установленным дистрибутивом Debian Sid, столкнулся с несколькими странностями, связанными с liblzma
(это — часть пакета xz
). При входе в систему с использованием SSH очень сильно нагружался процессор, Valgrind выдавал ошибки. И вот я, наконец, нашёл причину всего этого: в основной репозиторий xz
и в tar‑архивы xz
был встроен бэкдор.
Сначала я подумал, что это — взлом Debian‑пакета, но оказалось, что речь идёт именно о библиотеке.
Книга: «Podman в действии»
Пришло время обновить свой контейнерный движок! Менеджер контейнеров Podman обеспечивает гибкое управление слоями образов и полную совместимость с Kubernetes, а также дает возможность пользователям без прав администратора создавать, запускать непривилегированные контейнеры и управлять ими. OCI-совместимая поддержка Docker API позволяет перевести существующие контейнеры на Podman, не ломая свои скрипты и не меняя привычного порядка работы.
«Podman в действии» познакомит вас с менеджером контейнеров Podman. Простые объяснения и примеры позволят быстро разобраться с тем, что такое контейнеры, как они работают и как управлять ими. Вы получите глубокие знания об используемых Podman компонентах Linux и даже узнаете больше о Docker. Особенно ценны соображения автора Дэна Уолша по поводу безопасности контейнеров.
Для разработчиков и системных администраторов, имеющих опыт работы с Linux и Docker.
Это база: нюансы работы с Redis. Часть 2, репликация
Всем привет, на связи Пётр, инженер компании Nixys. В прошлой статье мы разобрали основные концепции Redis. Теперь рассмотрим базовую репликацию Redis и настроим эту БД на высокий уровень отказоустойчивости.
Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере
Я продолжаю тестировать инструменты, которые помогают научиться защищать кластеры Kubernetes. На этот раз взглянем на продукт от разработчиков из компании Wiz Research — Kubernetes LAN Party, челлендж по выполнению CTF-сценариев. Выход инструмента был приурочен к прошедшей в марте этого года конференции KubeCon EMEA 2024.
В статье я расскажу, зачем нужен этот инструмент, а также пройду все сценарии, которые предлагает K8s LAN Party, и напишу свое мнение о том, насколько это классный инструмент и кому он будет полезен.
Proxmox VE 8.2… теперь с импортом ВМ из VMware
Разработчики из Proxmox Server Solutions GmbH который год продолжают улучшать своё детище, а именно Proxmox Virtual Environment. Иногда изменения в новой версии бывают заметными, иногда - мелкими и скорее косметическими, но вот в вышедшей вчера версии 8.2 парни отовались на славу: они реализовали возможность импорта гостевых ВМ из других гипервизоров, причем даже не забыли снабдить этот функционал удобным мастером настройки процесса. Как пишут сами авторы, в настоящее время возможен импорт ВМ на базе VMware (ESXi и vCenter). Можно импортировать ВМ целиком, при этом большинство исходных конфигурационных параметров будут отображены на конфигурационную модель Proxmox VE.
Измеряя качество: SLO и SLI для инфраструктурных команд
В последние годы перед инженерами нередко ставят задачу спроектировать SLI для тех компонентов, которые они поддерживают. Более или менее понятно, какие SLIs следует применять для пользовательских сервисов и как их рассчитывать. Однако для инфраструктурных команд попытка внедрить SLI сопряжена с рядом сложностей. Далее я расскажу несколько историй об этом и поделюсь выводами, к которым я пришел.
Рекомендации по обновлению Carbonio до версии 24.03
В последнем обновлении Carbonio 24.03 добавлена поддержка Ubuntu 22.04 и PostgreSQL 16. Те, кто ранее устанавливал Carbonio на Ubuntu 20.04 и RHEL8 с использованием PostgreSQL 12 столкнулись с необходимостью обновить используемый дистрибутив и версию PostgreSQL на актуальную версию. В данной инструкции мы расскажем о том, как это сделать, сохранив все данные.
Что делать, чтобы эксплуатация не превратилась в бесконечное тушение пожаров
Меня зовут Владимир Медин, я работаю в подразделении SberWorks, которое внедряет практики DevOps и MLOps. Хочу поделиться нашим опытом повышения надёжности enterprise-систем, вводимых в эксплуатацию, особенно впервые. Для кого-то эта статья будет в большей степени спасательным кругом, но с напутствием. Многие подходы к обеспечению надёжности у нас регламентированы, но есть и «неуставные» решения, которые вырабатываются только с опытом. Кому-то могут бы непонятны некоторые тонкости, диктуемые условиями крупной компании, поэтому по мере рассказа буду объяснять, почему это важно. Впрочем, на мой взгляд, эти правила применимы в работе компании любого размера, дорожащей стабильностью качества своих услуг.
SaltStack: управление конфигурациями
SaltStack позволяет администраторам и DevOps-специалистам взаимодействовать с различными уровнями своих инфраструктур, от индивидуальных серверов до центров обработки данных. Система использует модель Salt Minion.
Salt Master координирует действия и распределяет задачи среди узлов Salt Stack. Salt Minions, установленные на управляемых серверах и устройствах, слушают команды от мастера и выполняют их, обеспечивая таким образом моментальное распространение конфигурационных изменений и обновлений по всей инфраструктуре.
Создание карты подключений Elasticsearch + Fluent Bit + Nginx Ingress Controller
Данная статья представляет подход к решению задачи сбора и агрегации метрик от Ingress Nginx Controller для извлечения геоданных с помощью GeoIP2 и их визуализации в Elasticsearch.
Современный админ: ИТ-Шива на все руки?
Я администрирую ИТ в компании со штатом 150 человек. В компаниях такого размера ИТ-отдел, как правило, небольшой, а компетенций требуется много. В процессе работы у меня получилось собрать небольшой гайд, где я описал сегодняшние реалии ИТ-рынка с точки зрения админа, а также изложил свое мнение о том, какие скилы нужно развивать ИТ-администратору средней по размеру компании Если хотите поделиться собственными наблюдениями, жду вас в комментариях.
Как мы переносили базу Clickhouse между географически удаленными дата-центрами
В конце прошлого года мы писали о сложном переезде нашего собственного сервиса в новый дата-центр в Детройте. Среди прочих задач мы переносили Clickhouse. Напомню, что речь идет о нагруженном сервисе, который обслуживает десятки серверов, принимающих сотни тысяч запросов с низкой latency в секунду.
В этой статье рассказываем, как мы переносили данные, не имея возможности отключить сервис или воспользоваться автоматической репликацией.
Объем данных для Clickhouse у нас не такой уж и большой - процесс получился не столько объемный, сколько ресурсоемкий. Но в открытых источниках информации по использованным механизмам минимум, поэтому считайте это руководством к clickhouse-copier утилите (https://github.com/ClickHouse/copier) на конкретном примере со скриптами и командами для запуска.
Ближайшие события
Покрываем плэйбуками ansible IaC в части предоставления доступа
Итак мы уже научились быстро поднимать инфраструктуру с помощью IaC, завели кучу репозиторриев и готовы восстановить исковерканную или сломанную инфраструктуру в части готовности сервисов. В качесте следующего этапа можно рассмотреть предоставление доступов к ресурсам и документирование предоставления таких доступов. Такой подход позволит не только быстро находить на каком основании Вася дропнул табличку на проде, но и ускорить предоставление доступов и сократить количество ошибок.
Безопасный интернет через Termit: 11 шагов для развертывания СТД
Привет, Хабр! Сегодня мы подробнее поговорим про Termit 2.1 — систему терминального доступа. Она предназначена для организации удаленного доступа конечных пользователей к приложениям, опубликованным на терминальных серверах. В этой статье я расскажу о том, как мы делали на базе Termit «безопасный интернет» для одного из заказчиков, а параллельно с этим мы подробно рассмотрим процесс развертывания Termit 2.1 на случай, если вы захотите повторить все это своими руками. Под катом — схема внедрения подобного решения и подробная инструкция по развертыванию.
Добавление доменов в Carbonio GAL
Ранее мы рассказывали о том, как в Carbonio организовано подключение глобальной адресной книги - списка пользователей всего домена, чтобы пользователи могли эффективно переписываться друг с другом, находя нужные контакты по различным параметрам и не запоминая длинные адреса электронных почт. Но что если перед администратором встает задача расширить список доступных пользователям контактов, добавив в него пользователей из других доменов? В данной инструкции мы разберем, как это делается в Carbonio.
Как в 14 лет я стал сисадмином
Привет, читатель! Это моя первая статья на Хабре. Прошу строго не судить.
Хочу рассказать свою историю. Меня зовут Марк, мне 14 (2009г). В свои 14 я зарабатываю сам и занимаюсь делом моей мечты.
Как мне удалось обнаружить уязвимость, связанную со слабыми ключами в Debian
Для новичков в сфере информационных технологий может быть открытием, что в следующем месяце мы отметим 16-ю годовщину одного знаменательного события: было выявлено, что в течение 18 месяцев пакет OpenSSL в Debian вырабатывал полностью предсказуемые приватные ключи, что в то время стало сенсационной новостью.
Недавно возникшая угроза, связанная с xz-stential (благодарю @nixCraft за привлечение внимания к этой проблеме), побудила меня вспомнить о собственном неожиданном опыте обнаружения серьезной уязвимости. Учитывая, что срок для юридического преследования, скорее всего, уже прошел, я решил поделиться своим опытом как примером того, как непредвзятое "хм, это странно" может привести к выявлению серьезных угроз безопасности — при условии, что у вас есть время и терпение распутывать эту нить дальше.
Книга: «Кибербезопасность: главные принципы»
С 1970-х годов InfoSec-специалисты постепенно совершенствовали безопасность, даже не задумываясь, в правильном ли направлении со стратегической точки зрения они движутся. Рик Ховард утверждает, что нет. Общее направление само по себе было ошибочным, но идейные лидеры в этой области так и не смогли докопаться до корня проблемы. Идя по стопам таких авторитетов, как Декарт и Илон Маск, автор обосновывает главный принцип кибербезопасности и определяет стратегии и тактики его реализации.
HashiCorp обвинила сообщество OpenTofu в краже кода Terraform, но что-то пошло не так
3 апреля на сайте InfoWorld вышла статья известного публициста на тему Open Source и юриста Matt Asay под названием «OpenTofu, возможно, демонстрирует нам, как не надо делать форк». Лидер-абзац в статье довольно жёсткий:
Не согласны с лицензией? Просто сделайте форк проекта, но не выкидывайте его код — говорите, что он всегда был доступен публично. Сравните код и лицензию HashiCorp с версией OpenTofu.
Разберемся в этой истории последовательно — кто прав, кто виноват и чем всё закончилось.
Вклад авторов
amarao 2691.0ru_vds 2542.7eucariot 1928.0oldadmin 1703.0LMonoceros 1574.0shurup 1471.7simpleadmin 1089.0chemtech 1043.01cloud 993.0cooper051 958.2