Записки админа
12.6K subscribers
628 photos
28 videos
221 files
2.4K links
Пишу о Linux и администрировании серверов.

Связаться с автором: @servers

Заметки в браузере: https://sysadmin.pm/

Буст канала: https://tttttt.me/sysadminnotes?boost
Download Telegram
🐧 Внезапно, интересно выглядящая система управления виртуализацией crosvm, написанная на Rust.

- Документация: https://google.github.io/crosvm/
- Пример использования: https://blog.openw3b.org/crosvm-for-os-and-app-virtualization-on-linux/

#virtualization #kvm #напочитать
lj.zip
52.3 MB
🐧 Немного журналов вам в ленту. Полистать за обедом, так сказать.

- Ultimate Linux Projects - First Edition 2022
- Linux Format - Vol. 5, NextTech Series, Annual 2022
- Linux Open Source Annual - Volume 7, 2022

#linux #system #journal
Лёгкая, кроссплатформенная build утилита, написанная на Lua. Выглядит так, что работать и собирать нужное будет даже на чайнике, если потребуется.

https://github.com/xmake-io/xmake

#make #xmake
🐧 И да, русские физики здесь? Готовьтесь, ибо грядет! http://www.slackware.com/changelog/current.php?cpu=x86_64

#slackware
ssh.pdf
4.7 MB
🛠 Brennon Thomas. "The Cyber Plumber’s Handbook. The definitive guide to SSH tunneling, port redirection, and bending traffic like a boss."

Взято из этого репозитория.

#ssh #tunnel #напочитать
⚙️ Родился, жил и умер. Коротко, на пальцах, о том как процесс начинает свою работу и как завершает её. Life and Death of a Linux Process.

#process #напочитать
container-ecosystem.drawio.png
181.7 KB
📝 Docker, Kubernetes, OCI, CRI-O, containerd & runc: How do they work together?

Взял вот в этой статье - An attempt to understand container runtime.

#containers #runc #containerd
🐧 And now Linux has a Real-Time Linux Analysis (RTLA) tool! Кажется, в ядре 5.17 нас ждёт новый инструмент для трейсинга и получения данных о производительности.

Для желающих окунуться в детали, есть отдельный документ, доступный по ссылке - Demystifying the Real-Time Linux Scheduling Latency.

#linux #performance #rtla
JFI. Автор умудрился во время не продлить sysadmin.pm и сайт пока что выведен из строя. Работаю над восстановлением. Такие дела.

UPD. Домен восстановлен https://tttttt.me/SysadminNotes/2585
systemd.zip
13.9 MB
🐧 Объёмная книга о systemd. Linux Service Management Made Easy with systemd.

#systrmd #книги #фидбечат
Домен sysadmin.pm восстановлен и работает в обычном режиме. За оперативное решение проблемы я должен сказать спасибо поддержке cloudns.net, я в очередной раз убедился в том, что они большие молодцы. Короткий postmortem, так как некоторые просили о нём. Причин у произошедшего две:

1. Человеческий фактор. Т. е. я, который в силу происходящего сейчас в оффлайне не продлил во время домен, и не заметил сообщения о необходимости его продления в ящике.

2. Технический фактор. Тут вот интереснее. Произошло следующее - после истечения домена, он не был отключен вышестоящим регистратором. По какой-то причине, в двум моим NS добавились два парковочных NS регистратора (*.ibspark.com).

ns-list:     NSL52452-FRNIC
nserver: becky.ns.cloudflare.com
nserver: lou.ns.cloudflare.com
nserver: ns1.ibspark.com
nserver: ns2.ibspark.com
source: FRNIC

Это привело к очень интересным последствиям (и тот, кто сталкивался с проблемами на уровне dns, скорее всего уже понимает к чему я). Для части интернета, домен продолжил быть доступен. Например, 8.8.8.8 по прежнему резольвил домен с правильного IP несколько дней, почта на этом домене частично работала вплоть до сегодняшней ночи. Но для части интернета, домен оказался не доступен, например 1.1.1.1 резольвил домен на IP, который отдавали парковочные NS.

Есть ли у меня мониторинг? Конечно же есть. Только вот он оказался с той частью интернета, для которой домен отдавался корректно. Равно как и сторонний мониторинг от UptimeRobot тоже. У меня есть несколько VPN серверов, и часть сконфигурирована с NS от Google, а часть с NS от Cloudflare. Так вот, проблему я сам заметил только после того, как переключился с одного VPN на другой (тот, который работает с неймсервером 1.1.1.1 от CF). Далее уже последовала перепроверка всего и обращение в поддержку.

Выводы. Ситуация достаточно банальна, на мой взгляд, и выводы тут соответствующие. Быть внимательнее к важным сообщениям (возможно, вывести их отдельно, что бы они были заметны даже в случае завала и текучки), включить автопродление домена, донастроить мониторинг с учётом произошедшего на уровне NS, и по возможности настроить мониторинг даты истечения домена.

Спасибо всем за советы, скрипты и фидбек.
На случай, если вы пропустили, то с 1 июня 2022, бесплатный G Suite всё. https://support.google.com/a/answer/60217

#фидбечат #google
🔓 Утро начнём с привета пользователям Control Web Panel (CWP) - похоже что самое время бежать и обновляться (на самом деле ещё три дня назад стоило это сделать), потому что CVE-2021-45467 и CVE-2021-45466 на сервере оставлять нельзя.

#cwp #security
😈 Why we're migrating (many of) our servers from Linux to FreeBSD - ещё одна статья о том, почему FreeBSD может оказаться хорошим выбором для прода. Для бывалых админов аргументы известны, и не лишены смысла местами.

#freebsd #напочитать #фидбечат
👾 Qualys Security Advisory. pwnkit: Local Privilege Escalation in polkit's pkexec (CVE-2021-4034).

https://www.openwall.com/lists/oss-security/2022/01/25/11

This vulnerability is an attacker's dream come true:

- pkexec is installed by default on all major Linux distributions (we exploited Ubuntu, Debian, Fedora, CentOS, and other distributions are probably also exploitable);
- pkexec is vulnerable since its creation, in May 2009 (commit c8c3d83, "Add a pkexec(1) command"); - any unprivileged local user can exploit this vulnerability to obtain full root privileges;
- although this vulnerability is technically a memory corruption, it is exploitable instantly, reliably, in an architecture-independent way;
- and it is exploitable even if the polkit daemon itself is not running.

We will not publish our exploit immediately; however, please note that this vulnerability is trivially exploitable, and other researchers might
publish their exploits shortly after the patches are available. If no patches are available for your operating system, you can remove the SUID-bit from pkexec as a temporary mitigation; for example:

# chmod 0755 /usr/bin/pkexec

Ну какова красота.

#security #pkexec #polkit
🐧 Интересный ресурс, на котором можно изучить работу systemd и попрактиковаться с разными вариантами запуска https://systemd-by-example.com #systemd #линк