IT-KB.RU
3.18K subscribers
138 photos
11 videos
15 files
801 links
Собрание заметок об информационных технологиях

@EugeneLeitan 👀🧑‍💻
Download Telegram
Интересна тема CI/CD? Есть вопросы по непрерывной интеграции, доставки и развертывания?

Если это так, то Вам скорее всего будет интересен Demo day супер-интенсива «CI/CD или Непрерывная поставка с Docker и Kubernetes», который пройдет 19 января 2021 года в 20:00

Demo Day — отличная возможность задать все вопросы по CI/CD, узнать подробнее о программе интенсива, особенностях онлайн-формата, навыках, компетенциях и перспективах, которые ждут выпускников после обучения.

Преподаватель-практик расскажет о себе, своём опыте, поделится лайфхаками по выгодной оплате интенсива.

▶️ https://otus.ru/lessons/intense_cicd/#event-948
​​Демо-стенд или тестовая среда - это важная составляющая каждой ИТ инфраструктуры!

Для себя выяснил, что выполнить ту или иную ИТ задачу без предварительной проверки решения на стороннем и самое главное идентичном или похожем софте, достаточно не просто. Даже после резервного копирования ресурсов, полноценного мониторинга, все равно в реальной и боевой ИТ инфраструктуре может возникнуть фактор неожиданности ... и придется откатываться

Поэтому чаще всего стараюсь придерживаться следующего общего плана:
- создание демо-стенда (LAB)
- проверка решения в тестовой среде
- бекап серверов продакшн ИТ инфраструктуры
- включение мониторинга/логирование
- план отката в случае отрицательного результата

В инете нашел интересные проекты для бесплатного ознакомления с ОС Windows и Linux
- https://www.onworks.net
- https://distrotest.net

Например, можно запустить Astra Linuх и выполнить какие-нибудь тесты, т.о. ознакомиться с данной ОС ...

В сообществе IT-KB.ru тоже решили запустить аналогичное решение "Тестовая среда на базе Windows и Linux". Если интересно, то пишите в личку или чатик с хештегом #LABs. Все условия и предложения индивидуальны...

#LABs #Тесты
​​Всех с прошедшим Новым годом и наступающим Рождеством!🥳

Целенаправленно не публиковали новости перед и сразу после Нового года, зная, что в суматохе 2020 года все чаты и каналы буду только отвлекать.
Сейчас на кануне светлого праздника Рождества Христова подводим некоторые итоги ушедшего 2020 года, намечаем планы на 2021 и надеемся на лучшее!
Спасибо, что были с нами, сообществом IT-KB.RU, весь прошлый год! Все вместе будем стараться сделать этот мир лучше и прекраснее!

Наиболее важные события прошедшего 2020 года - https://opennet.ru/54323/

Немного нашей статистики в качестве подведения итогов:
- Наш чат растет за счет желающих помочь разобраться в происходящих ИТ технологиях. Конечно же, без ботов тоже не обошлось, но мы с ними боремся 😊
- Основной блог обрабатывает порядка 45 000 запросов ежемесячно. Самая популярная запись блога - Remote Desktop Services – Строим отказоустойчивую ферму RD Connection Broker на базе Windows Server 2012 (247 394 просмотров)
- Википедия https://wiki.it-kb.ru пополняется новыми статьями и обновляется информация в старых записях
- Наш канал Telegram подрос в 2 раза 🚀 и предоставил нашим подписчикам примерно 250 записей за прошедший 2020 год. Самая популярная запись на канале – описание авторского курса по темеВнедрение системы мониторинга Microsoft System Center Operations Manager 2012 R2/2016/2019” (16 615 просмотров)

На 2021 год ставим только амбициозные цели:
• продолжаем делиться новостями в мире Linux и Windows, как on-prem, так и сloud
• планируем создавать новые и обновлять старые курсы по направлению Microsoft System Center и Azure
• по возможности помогать в чате https://tttttt.me/chatitkbru или форуме https://forum.it-kb.ru, а также предоставлять вычислительные ресурсы для выполнения тестовых работ на базе Linux или Windows

В Новом году желаю ВСЕМ удачи в делах, интересных проектов, повышения своего уровня мастерства в ИТ, успехов на работе и самое главное крепкого здоровья Вам и вашим близким!🌈

Чтобы наши желания переросли в реальные поступки, которые сделают мир светлее и более жизнерадостным, предлагаю ниже в комментариях каждому оставить пожелание себе и ВСЕМ подписчикам на 2021 год!🙂
​​Уже завтра (13.01.2021) состоится традиционный ежемесячный выпуск обновлений и бюллетеней безопасности компании Microsoft. Длинные выходные закончились, а с ними грядет планирование и установка обновлений Windows и сопутствующего ПО. Смотрим, делаем выводы и намечаем даты обновления тестовой среды, а за ней и прода.

Дата и время проведения:
13 января с 10:00 до 11:00 (время московское)

Ведущий:
Артём Синицын CISSP, MCSE, Microsoft Certified Azure Security Engineer
руководитель программ ИБ в Центральной и Восточной Европе, Microsoft

Добавить событие в календарь Outlook:
https://aka.ms/PatchTuesdayCast-Outlook

Добавить событие в календарь Google:
https://aka.ms/PatchTuesdayCast-Google

Подключиться к вебинару (предварительная регистрация не требуется):
https://aka.ms/PatchTuesdayCast

❗️P.S. Уважаемые, подписчики! ❗️
1️⃣Запись будет доступна по ссылке ▶️https://aka.ms/PatchTuesdayCast
2️⃣Все ссылки в слайдах будут также доступны ▶️https://aka.ms/CEEdeck

#Microsoft #PatchTuesday
"Сказка ложь, да в ней намек! Добрым молодцам урок"

- Как можно потерять минимум 130 млн за неделю из-за неправильных настроек сетевых устройств?
- Что нужно делать, чтобы этого избежать (рекомендации по усилению информационной безопасности (ИБ) ИТ?
- Правильно ли утверждение: крупная компания = 💪 ИБ?

Об этом и многом другом узнаете из свеженького триллера на просторах Интернета. Спойлер: в главной роли - РЖД...

https://habr.com/ru/post/536750/
​​14 января мы узнали, что, если создать файл ярлыка Windows (.url) с расположением значка, установленным на “cd C:\:$i30:$bitmap”, то уязвимость будет активирована, даже если пользователь никогда не открывал этот файл, а только просматривал папку, в которой он находится.
Данная уязвимость доступна не только из под администратора, ее может использовать любой пользователь Windows 10 с низкими привилегиями в системе. Уязвимость можно активировать удаленно, а также встраивать в HTML. В некоторых системах после ее отработки повреждается MFT.

А 18 января эксперт обнаружил очередной баг в Windows 10, при использовании которого система уходит в ВSOD. Например, если ввести в адресную строку Chrome “\\.\globalroot\device\condrv\kernelconnect”, то во всех версиях Windows 10, начиная с 1709 и выше, включая 20H2, то система завершит работу и выдаст BSOD.

Будьте внимательны и следите за обновлениями ОС!

#Windows #Security
Направление DevOps все больше и больше захватывает мир ИТ и заставляет ИТ инженеров и администраторов пересмотреть свои взгляды на дальнейшее сосуществовании. Причины происходящего: с одной стороны это высокие доходы на соответствующие позиции у работодателя, с другой стороны текущие требования современных информационных технологий.
Ранее опубликованная инфографика DevOps инструментов показала высокий интерес среди подписчиков.
Недавно наткнулся на более расширенный вариант DevOps развития в данном направлении. По каждому из пунктов, особенно “very important” и “important”, есть желание опубликовать различные материалы.

Напишите в комментариях, интересна ли Вам тема “DevOps”? 🧐

#DevOps
​​С учетом того, что Chrome является одним из наиболее часто используемых браузеров в России, предлагается обновить его до версии 88.0.4324.146 во избежание компрометации личных данных.

Опубликовано обновление браузера Chrome 88.0.4324.146 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2021-21142) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в реализации API Payments.

Кроме того, в новом выпуске устранено ещё 5 уязвимостей, из которых 4 присвоен высокий уровень опасности. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 52500 долларов США (одна премия $20000, две премии $10000, по одной премии $7500 и $5000). Размер одного вознаграждения пока не определён.

P.S. Microsoft Edge на базе Chromium пока без обновлений… Текущая версия 88.0.705.56

#Update #Security #Chrome
​​Ниже делимся интересной информацией от Яндекса по возможности заработать на удаленке, помогая в развитие контента в облачном направлении!

Яндекс ищет авторов для подготовки образовательного контента про Yandex.Cloud.

В феврале Яндекс ведет активную подготовку базового обучения по платформе Yandex.Cloud. Нужно несколько крутых авторов, которые специализируются на работе с облачными сервисами.

Требования к авторам:
1. Практический опыт реализации облачных проектов. Опыт работы с облаками от 3-х лет.
2. Опыт написания образовательного контента.
3. Умение писать в информационном стиле. Просто, честно, понятно, не используя штампов и т.д.
4. Готовность быстро приступить к работе

Формат курса: текстовый онлайн курс с максимально большой практической частью. Курс будет размещен на платформе Яндекс. Практикум -> https://praktikum.yandex.ru/

Объем работ: Вы можете выбрать 1 или несколько блоков. Готовый объем одного блока от 10 до 40 уроков. 1 урок = 5 минут чтения = 1-2 страницы текста. На подготовку 1 урока автору нужно примерно 3 часа + потом ответы на вопросы редактора и тех.поддержки. 🤠Контент всего курса уже написан в черновом варианте, его нужно использовать.

Условия для авторов: Яндекс готов платить 5-9000 руб. за подготовку 1 урока.

Сроки: Deadline по сдаче всего курса 1 марта 2021.

Направления/разделы в курсе:
1. Организация инфраструктуры в Яндекс.Облаке (Virtual Private Cloud, Compute Cloud, Cloud Interconnect, Resource Manager, Identity and Access Management, Instance Groups, Load Balancer, Object Storage, CLI, Yandex Monitoring)
2. Работа с данными и аналитика (MySqL, PostgreSQL, Apache Hadoop + Spark, ClickHouse, Yandex DataLens, MongoDB)
3. Контейнеры. (Docker, Yandex Container Registry, Yandex Managed Service for Kubernetes,
4. Cloud-native разработка (Cloud Functions, Message Queue, API Gateway)
5. Безопасность (Правовые аспекты, клиентские инструменты, безопасность нашего облака)
6. Прогнозирование затрат и оптимизация расходов

Все понравилось и есть желание заработать, тогда пишите в комменты или мне напрямую в личку @EugeneLeitan

#Яндекс #Работа #Заработок
​​Виктор, участник чатика @chatitkbru, поделился своим опытом на тему применения такого open-source продукта, как Proxmox Mail Gateway.

Для информации:
Proxmox Mail Gateway — это решение для защиты корпоративных почтовых серверов от вирусов и спама, обеспечивает компании безопасность от известных и новых угроз электронной почты. Он использует различные локальные и сетевые тесты для распознавания сигнатур вирусов. Proxmox Mail Gateway проверяет каждое входящее сообщение на SMTP-уровне, то есть еще до того, как оно попадает в почтовый ящик. Алгоритмы Proxmox Mail Gateway сокращают ошибки по блокировке безопасных и пропуску вредоносных сообщений.

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian 10 (Buster) и ядра Linux 5.3. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian 10.

Предоставляется полный набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Видео обзор:
📹Обзор Proxmox mail gateway
📹Прием почты Proxmox mail gateway
📹Отправка писем Proxmox mail gateway


#Security #Mail #ProxmoxMailGateway
​​Уже завтра (10.02.2021) состоится традиционный ежемесячный выпуск обновлений и бюллетеней безопасности компании Microsoft.

Судя по уязвимостям в наиболее часто используемом ПО (Обновление Chrome 88.0.4324.146 с устранением критической уязвимости, Обновление Chrome с устранением 0-day уязвимости, Firefox 85.0.1 c устранением уязвимости и, конечно же, Windows 10, Обнаружена 0day уязвимость повышения привилегий в Windows 7-10), интереса у большинства специалистов по взломам, стоит держать руку на пульсе ...

🔥На вебинаре точно будет важная инфа про закрытие уязвимости Netlogon!

Дата и время проведения:
10 февраля с 10:00 до 11:00 (время московское)

Ведущий:
Артём Синицын CISSP, MCSE, Microsoft Certified Azure Security Engineer
руководитель программ ИБ в Центральной и Восточной Европе, Microsoft

Добавить событие в календарь Outlook:
https://aka.ms/PatchTuesdayCast-Outlook

Добавить событие в календарь Google:
https://aka.ms/PatchTuesdayCast-Google

Подключиться к вебинару (предварительная регистрация не требуется):
https://aka.ms/PatchTuesdayCast

❗️P.S. Уважаемые, подписчики! ❗️
1️⃣Запись будет доступна по ссылке ▶️https://aka.ms/PatchTuesdayCast
2️⃣Все ссылки в слайдах будут также доступны ▶️https://aka.ms/CEEdeck

#Microsoft #PatchTuesday
​​Служба безопасности Яндекса раскрыла факт внутренней утечки

В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков.

Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.

По выявленному инциденту проводится внутреннее расследование и будут пересмотрены процессы работы сотрудников, обладающих административными правами такого уровня доступа. Это поможет минимизировать влияние человеческого фактора на безопасность данных пользователей. Также компания обратилась в правоохранительные органы.

Мы очень сожалеем о случившемся и приносим извинения пользователям, которые пострадали из-за этого инцидента.

Служба поддержки пользователей по данному инциденту – incident@support.yandex.ru
​​Продолжаем тему DevOps, черпая знания из ниже представленных книг...

1️⃣ Безопасный DevOps. Эффективная эксплуатация систем (2020)
Автор: Вехен Д.

В этой вводной книге рассматриваются практики, используемые при защите веб-приложений и их инфраструктуры, а также методы интеграции безопасности непосредственно в продукт. Основные концепции DevOps, такие как непрерывная интеграция, непрерывная поставка и другие ключевые DevOps-процессы.

В книге рассматриваются следующие темы:
✔️ обеспечение непрерывной безопасности;
✔️ внедрение безопасности на основе тестирования в DevOps;
✔️ приемы, помогающие повысить надежность облачных сервисов;
✔️ отслеживание вторжений и реагирование на инциденты;
✔️ тестирование безопасности и оценка рисков.

Преимущества:
хорошая осведомленность автора в теме;
книга современна и очень практична;
дает соответствующие рекомендации о том, как реализовать систему.

💾 Ссылка на скачивание


2️⃣ Руководство по DevOps [Как добиться гибкости, надежности и безопасности мирового уровня в технологических компаниях] - 2018

Профессиональное движение DevOps зародилось в 2009 году. Его цель – настроить тесные рабочие отношения между разработчиками программного обеспечения и отделами IT-эксплуатации. Внедрение практик DevOps в повседневную жизнь организации позволяет значительно ускорить выполнение запланированных работ, увеличить частоту релизов, одновременно повышая безопасность, надежность и устойчивость производственной среды. Эта книга представляет собой наиболее полное и исчерпывающее руководство по DevOps, написанное ведущими мировыми специалистами.

💾 Ссылка на скачивание


3️⃣ Философия DevOps. Искусство управления IT - 2017

IT-принцип «agile» стал мантрой цифровой эпохи. С ростом проектов, переходом от монолитных приложений к системе микросервисов, увеличением и накоплением продуктов возникают вопросы, которые требуют совершенно иного подхода. Теперь наибольший интерес вызывает находящаяся на стыке разработки и операционного управления методология DevOps.

DevOps – это не просто набор техник, это философия. Разработчики, зацикленные на пользователях, должны уделять внимание поддержке и ее запросам. Сисадмины должны сообщать о проблемах продукта и вносить свой вклад в улучшение процесса работы. Но налаживание связей внутри компании – это лишь первый шаг. Чтобы продукт стал простым и удобным, придется вложить время и ресурсы в его доработку. Конфигурация через центральную службу, внедрение простым копированием, отсутствие внешних зависимостей, обдуманные метрики вместо мусора в логах – вот лишь часть задач, которые придется решать на этом пути.

Книга «Философия DevOps» познакомит вас с техническими, культурными и управленческими аспектами devops-культуры и позволит организовать работу так, чтобы вы получали удовольствие от разработки, поддержки и использования программного обеспечения.

💾 Ссылка на скачивание

#книга #devops #русский
​​Продолжаем тему DevOps

Microsoft предлагает оптимальный путь для собственного развития по направлению DevOps - обучение на базе Azure.

Описание направления DevOps Engineer на базе Azure:
Разработка и внедрение процессов и практик DevOps. Разработайте стратегию инструментария с журналированием, телеметрией и мониторингом. Управляйте системой контроля версий с помощью GitHub, чтобы стимулировать сотрудничество и автоматизировать процессы сборки и развертывания. Менее чем за 25 часов вы узнаете, как DevOps поддерживает все этапы жизненного цикла разработки программного обеспечения от планирования до мониторинга.

Как начать?

1. Переходим по ссылке
2. Выбираем “DevOps Engineer”
3. Регистрируемся
4. Проходим обучение за 30 дней
5. Получаем возможность сдать экзамен с 50% скидкой


Преимущество данного подхода:

• Бесплатно
• Ограниченное время на обучение (иначе, чаще всего текущие дела затянут и будут только отвлекать от задачи переквалификации в DevOps специалиста)
• Стоимость экзамена со скидкой 50%
• Возможность получить сертификат международного стандарта

#DevOps #Обучение #Бесплатно #GitHub #Azure
​​Анонсирована следующая версия Windows Server vNext - Windows Server Preview Build 20298

Доступный контент:
- Windows Server Long-Term Servicing Channel (LTSC) Preview is available in ISO format in 18 languages, and in VHDX format in English only. The following keys allow for unlimited activations:
- Server Standard: MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- Datacenter: 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67

- Windows Server Language Pack/Core App Compatibility FoD Preview

Известные проблемы:
- Shutdown Event Tracker is displayed every time a user logs on even when the user is a member of the administrators group and the user has closed the tracker window properly.
- Auto Logon does not work correctly in some scenarios.

1️⃣ Регистрируемся как участник Windows Insider Program
2️⃣ Скачиваем по ссылке
3️⃣ Устанавливаем и вводим ключи, которые будут действительны до 31 октября 2021
4️⃣ Делимся впечатлением в чатике 🧐

Источник

#Microsoft #Windows #Server
🔥 UDEMY: Раздача бесплатных курсов

1. AWS Certified DevOps Engineer Professional | Practice Exams - Ссылка

2. Windows Command Line (cmd) & Batch Script Management - Ссылка

3. Practical Java Basics Course with Real-life Examples - Ссылка

4. Learn Node.JS in 6 hours only - Ссылка

❗️Важно: Время действия бесплатных купонов ограничено, поэтому, если вас заинтересовал какой-то курс, на него можно зарегистрироваться сейчас, но проходить уже когда будет время.

#бесплатно #курсы #обучение #free #курс #DevOps
🔥 UDEMY: Раздача бесплатных курсов

1. SAP Basis Essential Training - Ссылка

2. VMware Certified Professional Data Center Virtualization - Ссылка

3. The Self-Taught Programmer - Ссылка

4. Pentesting and Securing Web Applications (Ethical Hacking) - Ссылка

❗️Важно: Время действия бесплатных купонов ограничено, поэтому, если вас заинтересовал какой-то курс, на него можно зарегистрироваться сейчас, но проходить уже когда будет время.

#бесплатно #курсы #обучение #free #курс #VMWare
IT-KB.RU pinned a photo
Все написали, и мы тоже в тренде...🔥

Компания Microsoft сообщает о проправительственной группировке, которая в настоящее время была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server крупных государственных компаний с целью кражи важных данных и получения удаленного контроля. На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки, в настоящий момент – преимущественно с целью кражи данных. Аналогичные атаки наблюдаем на территории РФ.

В связи с этим компания Microsoft выпустила срочные обновления безопасности

Подробнее:
1️⃣ Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
2️⃣ HAFNIUM targeting Exchange Servers with 0-day exploits

#Exchange #Security #Updates