👾 Kite — современная панель управления для Kubernetes

Интересный open-source проект для всех, кто работает с Kubernetes

Kite — это легковесная, современная и удобная панель управления Kubernetes, которая помогает мониторить и управлять кластерами через UI, а не только через kubectl.

Основные фичи:

🟦Интуитивный интерфейс с тёмной/светлой темой и адаптацией под разные устройства.
🟦Поддержка нескольких кластеров, переключение между ними, интеграция с kubeconfig.
🟦Полный обзор ресурсов: Pods, Deployments, Services, ConfigMaps, Secrets и другие.
🟦Редактирование YAML прямо в браузере, просмотр логов, метрики и терминал.
🟦Мониторинг в реальном времени — CPU, память, сеть и статистика по кластерам.

Можно запустить как Docker-контейнер, установить через Helm, либо развернуть манифестами.

#DevOps #Kubernetes #Kite

☁️ Cloudness - опенсорс-платформа, чтобы деплоить свои проекты как в “мини-облаке”

ℹ️ Cloudness - это open-source ПО, которое помогает разворачивать и управлять приложениями на своих серверах так, будто у тебя свой Heroku / Vercel / PaaS.

Возможности Cloudness:

- деплой проектов в пару кликов
- управление окружениями (dev/stage/prod)
- сервисы рядом (БД, кэш, очереди)
- удобный контроль ресурсов и состояния
- понятный интерфейс для DevOps

Подходит для:

- пет-проектов
- микросервисов
- командной разработки
- своего self-hosted продакшена

💾GitHub

#DevOps #Kubernetes #Cloudness

👩‍💻 Microsoft представила крупное обновление WSL 2.7.0

11 декабря 2025 года Microsoft выпустила обновление инструмента WSL 2.7.0 для запуска Linux в Windows. Это второй крупный релиз с тех пор, как компания открыла исходный код большей части своего инструментария. Система использует виртуальную машину с собственным ядром Linux 6.6, оптимизированным для скорости и экономии памяти.

В новой версии обновлено ядро Linux, графический стек WSLg и компоненты .NET. В конфигуратор добавлены новые параметры, включая управление версиями Cgroup и принудительное заверение зависшей виртуальной машины.

Инструмент получил улучшенную диагностику и логирование через гипервизор Hyper-V. Также значительно расширен список официально поддерживаемых дистрибутивов, куда теперь входят Debian 13, Ubuntu 25.10 и Fedora 43.

#WSL #Linux #Microsoft

Универсальный AI-агент с поддержкой skills и практические сценарии

Разработка AI-агентов сегодня — одна из самых «горячих» тем в IT. Кодинг-агенты уже оформились в отдельный класс продуктов с понятными лидерами: терминальные (Claude Code, Opencode) и IDE-ориентированные решения (Cursor, плагины для VS Code и т.д.).
Но что делать, если нужен универсальный помощник для повседневных задач: работы с файлами, ресёрча, анализа данных и OPS-активностей? В этой нише пока нет доминирующего архитектурного подхода.

В статье автор рассматривает один из возможных вариантов архитектуры универсального AI-агента: какие идеи за ним стоят, как они реализованы на практике, и какие сценарии уже сегодня выглядят реально рабочими.

🤖 Читать полностью

#DevOps #Persona #AI

💻 Fio (Flexible I/O Tester)
— мощная утилита для бенчмаркинга и стресс-тестирования систем хранения. Она стала стандартом для измерения реальной производительности дисков, SSD и массивов хранения.

Что умеет?

— Тестирование различных паттернов доступа (seq/random read/write)
— Поддержка синхронных и асинхронных операций ввода-вывода
— Работа с разными блочными размерами и глубиной очереди
— Эмуляция реальных рабочих нагрузок (базы данных, файловые серверы)
— Детальная статистика по задержкам и пропускной способности

Ключевые параметры:

--rw: режим операции (read, write, randread, randwrite, randrw)
--bs: размер блока (например, 4k, 1M)
--size: общий объем данных для операции
--runtime: длительность теста в секундах
--numjobs: количество параллельных задач
--ioengine: механизм I/O (libaio, sync, io_uring)
--filename: файл или устройство для тестирования

Основное использование:

Базовый тест последовательной записи:

fio --name=seq_write --rw=write --bs=1M --size=1G --filename=./testfile

Тест случайного чтения (4K, типично для БД):

fio --name=rand_read --rw=randread --bs=4k --size=1G --filename=./testfile

Многопоточный тест с глубиной очереди:

fio --name=multithread --rw=randrw --bs=4k --numjobs=4 --iodepth=32 --size=1G --filename=./testfile --group_reporting

Ключевые метрики в отчёте:

— BW (Bandwidth) — пропускная способность (MB/s)
— IOPS — операции ввода-вывода в секунду
— latency — задержки (min, max, avg, 95th percentile)
— slat/clat — задержки на уровне системы и устройства

Вместо расплывчатого значения «диск медленный» fio показывает конкретные цифры: скажем, 1500 IOPS при random read 4K с задержкой 15 ms. По этим данным уже можно предметно искать проблемы в хранилище и сравнивать производительность разных систем.

P.S. 📊 Fio-plot - для создания графиков из результатов тестирования Fio

#Linux #Test #SSD #СХД #fio

Landscape.cncf.io - ресурс, который показывает, что есть на рынке и помогает выбрать правильное решение под конкретную задачу.

С его помощью можно построить траекторию обучения. То есть, выбираете решение, изучаете и остаётесь востребованным специалистом.😎

#DevOps

😀 Linux: Укрощаем journald. Как освободить место без удаления файлов?

Если /var/log забит, но logrotate настроен правильно, скорее всего, виноват systemd-journald. Он хранит бинарные логи, которые могут копиться годами и занимать гигабайты. Просто удалять файлы в /var/log/journal/ опасно — можно повредить базу.

Используйте встроенные механизмы очистки (vacuum).

1. Проверяем наличие свободного места:

journalctl --disk-usage
# Вывод: Archived and active journals take up 4.2G in the file system.

2. Освобождаем место (безопасно): Утилита сама удалит самые старые записи, чтобы вписаться в лимит.

# Оставить только последние 500 МБ
sudo journalctl --vacuum-size=500M

# Или оставить логи только за последние 10 дней
sudo journalctl --vacuum-time=10d

3. Автоматизируем: В файле /etc/systemd/journald.conf раскомментируйте и настройте параметр: SystemMaxUse=500M

#Linux #systemd #journalctl #Bash #vacuum

⚠️⚠️⚠️⚠️
Январский «В тренде VM»: уязвимости в Windows, React и MongoDB

⚫️уязвимость, связанная с повышением привилегий, в драйвере облачного сервиса Microsoft OneDrive – PT-2025-50155 (CVE-2025-62221, оценка по CVSS — 7,8, высокий уровень опасности)

⚫️уязвимость React2Shell, приводящая к удаленному выполнению кода, в React Server Components – PT-2025-48817 (CVE- 2025-55182, оценка по CVSS — 10, критический уровень опасности)

⚫️уязвимость MongoBleed, приводящая к раскрытию данных, в MongoDB Server – PT-2025-52440 (CVE-2025-14847, оценка по CVSS — 7,5, высокий уровень опасности)

➡️Подробнее

#Security #Windows #OneDrive #MongoDB #React

Всем удачной пятницы и отличных выходных 🚀

#юмор@ITKB_channel

📱 Какие таблицы прописывал в iptables?

В iptables есть 5 таблиц, но чаще всего работают с тремя:

⏺filter
основная таблица для контроля трафика (используется по умолчанию)
⏺nat
для трансляции адресов (SNAT, DNAT, редиректы)
⏺mangle
для изменения пакетов (маркировка, TTL, QoS)
⏺raw
для исключения пакетов из обработки conntrack
⏺security
используется в SELinux для меток безопасности

🚩Таблица filter (фильтрация пакетов)

Используется для разрешения или блокировки трафика.

iptables -P INPUT DROP  
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  

🚩Таблица nat (трансляция адресов)

Используется для NAT, порт-форвардинга, маскарадинга.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  

Пример: Проброс порта (DNAT) – входящие пакеты на 80 порт перенаправляем на 8080

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080  

🚩Таблица mangle (изменение пакетов)

Используется для маркировки пакетов, изменения TTL, QoS.

iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64  

Пример: Маркировка пакетов для использования в tc (QoS)

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 1

#Linux #Network #iptables

❗️❗️❗️
Разработчики популярного текстового редактора Notepad++ написали сегодня, что их серверная инфраструктура была скомпрометирована с июня по декабрь 2025 года и злоумышленники устанавливали малвари на хосты с Notepad++ под видом обновлений.

"Согласно анализу, предоставленному экспертами по безопасности, атака включала компрометацию на уровне инфраструктуры, что позволило злоумышленникам перехватывать и перенаправлять трафик обновлений, предназначенный для notepad-plus-plus[.]org. [...] Трафик от некоторых целевых пользователей выборочно перенаправлялся на серверы, контролируемые атакующими, которые отдавали вредоносные манифесты обновлений." 🙄

Со своей стороны, сам создатель Notepad++ принёс глубочайшие извинения и поработал над механизмом обновления. Теперь программа не просто скачивает файл, а тщательно проверяет его цифровой паспорт и подпись. Более того, начиная с версии 8.9.2, эти проверки станут обязательными - если файл хоть немного подозрителен, обновление не установится. Идея проста: перестать слепо доверять хостингу или каналам связи.

Если вы или ваши сотрудники обновляли Notepad++ в период с июня по декабрь 2025 года, риск заражения вполне реален. Самое коварное здесь то, что вирус пришел через официальный канал, которому все привыкли доверять.

🔖Сейчас самое время проверить рабочие станции и убедиться, что подозрительных обновлений не было.

P.S. ❔А Вы пользуетесь "Notepad ++"?
Да - 👍 / Нет - 😎

#Notepad #Security

⚠️⚠️⚠️⚠️
👩‍💻Уязвимость прикладного программного интерфейса платформы для мониторинга и наблюдения Grafana связана с небезопасным управлением привилегиями.

Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и получить несанкционированный доступ к защищаемой информации.

⛓BDU:2026-01120

📣CVE-2026-21721(CVSS Score: 8.1 - Высокий уровень опасности)

API разрешений панели мониторинга не проверяет целевую область панели мониторинга, а проверяет только dashboards.permissions:* action. В результате пользователь, имеющий права управления разрешениями на одной панели мониторинга, может читать и изменять разрешения на других панелях мониторинга. Это повышение привилегий внутри организации.

ℹ️Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдения. Платформа поддерживает создание информационных панелей, которые объединяют различные панели визуализации в одной плоскости. Для них могут быть предусмотрены индивидуальные разрешения для каждого пользователя.

➡️Использование рекомендаций

#Grafana #Security

👨‍🎓Настраиваем основную защиту Ubuntu 24

В этой статье мы произведем настройки для защиты своего сервера: защитим SSH, защитим Nginx, панель управления Fastpanel и еще побочное преимущество - получим VPN на основе Tailscale (Wireguard).

1. Вход: Только по SSH-ключу и/или только через mesh-сеть (Tailscale). Публичный порт 22 закрыт.
2. Пользователь: Root отключен, работаем под bert.
3. Web: Nginx не отдает версию и имеет защитные заголовки. Боты, сканирующие админки, улетают в бан (Fail2Ban).
4. Firewall: фаервол закрыл все порты, кроме нужных нам.
5. Fail2ban: ботов ожидает fail
6. Система: Автоматически ставит критические патчи.
7. Побочно мы еще и получили VPN, благодаря тому что такое Mesh-сеть

👍 Далее под катом...

#Linux #Ubuntu #Security

🦈 Бесплатные лабы для обучения работы с Wireshark

Каждому безопаснику нужно знать этот базовый инструмент для анализа трафика.

➡ https://labex.io/free-labs/wireshark

😉В лаборатории есть ИИ помощник, помогающий пройти трудные задания.

Дополнительно:

➡Полный курс по WireShark [1], [2], [3];
➡Бесплатный курс: Компьютерные сети 2025;
➡Руководство: Анализ трафика сети посредством Wireshark;
➡Полный список фильтров Wireshark.
➡Статья: Wireshark. Лайфхаки на каждый день;
➡Статья: Практические приёмы работы в Wireshark;
➡Mindmap: Wireshark.

#Network #Wireshark

Пользователи Notepad++ использовали вредоносное обновление полгода (2 часть - выводы)

Недавний инцидент с Notepad++ показал, как злоумышленники могут использовать цепочку обновлений:
🔹Злоумышленники получили контроль над сервером обновлений разработчика этой записной книжки.
🔹Вредоносные апдейты распространялись избранным компаниям полгода, пока кто-то не заметил (это была APT, а не широковещательная атака)
🔹Пострадали тысячи пользователей, включая корпоративные системы.

Вывод:
даже доверенный софт может стать источником компрометации. Любое обновление сегодня — потенциальная угроза.

📝Практические шаги для безопасника
🔹Немедленная проверка полученных внешних обновлений
🔹Любое обновление Notepad++, Zoom, Adobe, Windows и т.д. сначала скачивается в изолированную песочницу, а не на рабочую станцию.
🔹Проверка SHA-256 через независимый источник (вендор, RSS, телефон).

Статический и динамический анализ
🔹VirusTotal: проверка хеша и файла.
🔹Разбор установщика на скрипты и нестандартные команды.
🔹Запуск в VM с мониторингом сетевых соединений, автозагрузки и процессов.

Мониторинг сети
🔹Контроль нестандартных соединений на портах HTTPS.
🔹Аномалии: новые IP-адреса, география обращения, нестандартный размер пакета.

Осторожное развертывание
🔹Первое развёртывание только на 5–10% машин.
🔹Через SIEM идет анализ логов 24–48 часов перед массовым обновлением.

Обновления через внутренние репозитории
🔹WSUS, SCCM, Nexus, Artifactory — все апдейты сначала проходят через внутренний сервер.
🔹Блокировка прямого выхода рабочих станций к внешним источникам.

Контроль хоста
🔹Application Whitelisting: запуск только проверенных бинарников.
🔹EDR/XDR: запрет обращения updater.exe к cmd/powershell и критическим процессам.
🔹Проверка цифровой подписи и даты сертификата.

Если апдейт оказался заражённым
🔹Изоляция систем
🔹Немедленно отключить пострадавшие устройства от сети.
🔹Перевести рабочие станции на резервные образы, если есть.

Сбор артефактов
🔹Логи, бинарные файлы, контрольные суммы.
🔹Анализ через Sandbox/VM для понимания вредоносного поведения.
🔹Оповещение сотрудников

Не запускать подозрительные обновления.
🔹Контролировать все новые инсталляции софта через IT/Security.
🔹Держать связь с вендором
🔹Проверить, исправлена ли цепочка обновлений.
🔹Получить подтверждённые хеши и подписи исправленных файлов.

🧑‍🎓Главный урок:

доверие к поставщику нельзя воспринимать как постоянную константу. Любой апдейт проверяется как потенциальная угроза, даже если это привычное приложение. В общем и целом - Zero Trust.


🫠Вы же помните, что такое уже было с SolarWinds, ASUS Live Update, M.E.Doc, CCleaner (2 миллиона зараженных) и XZ Utils. И будет еще...

#Security #Notepad #Updates

В VirtualBox добавлена предварительная поддержка работы поверх гипервизора KVM

В репозиторий системы виртуализации VirtualBox добавлены изменения, позволяющие использовать встроенный в ядро Linux гипервизор KVM вместо специфичного модуля ядра VirtualBox (vboxdrv). Реализация подготовлена сотрудниками Oracle и не пересекается с бэкендом VirtualBox-KVM, параллельно развиваемым компанией Cyberus Technology. Отмечается, что Oracle начала работу над KVM-бэкендом несколько лет назад, но из-за нехватки инженерных ресурсов его разработка затянулась.

➡️ Подробнее

#VirtualBox #KVM

👩‍💻Серверы Nginx компрометируют ради перенаправления трафика

Аналитики DataDog Security Labs обнаружили вредоносную кампанию, в рамках которой злоумышленники проникают на серверы Nginx и перенаправляют трафик пользователей в свою инфраструктуру.

Исследователи связывают эту кампанию с эксплуатацией уязвимости React2Shell, через которую атакующие, вероятно, получают первоначальный доступ к серверам. По словам специалистов, атаки нацелены на установки Nginx и панели управления хостингом Baota, которые используются сайтами с азиатскими доменами (.in, .id, .pe, .bd, .th), а также государственными и образовательными ресурсами (.edu, .gov).

➡️Читать полностью

#Linux #Nginx