GnuTLS на Ubuntu

GnuTLS - это библиотека с лицензией LGPL, реализующая протокол Transport Layer Security (преемник SSL). Использование GnuTLS позволяет избежать проблем с лицензированием, которые могут возникнуть при работе с более распространенным пакетом OpenSSL. Именно по этой причине в последних релизах Ubuntu некоторые пакеты (например, OpenLDAP) компилируются с поддержкой GnuTLS вместо OpenSSL.

В этом руководстве рассказывается, как использовать инструменты GnuTLS для генерации сертификатов, необходимых для проверки подлинности хостов и шифрования связи между клиентом и сервером. Перед прочтением гайда вам стоит ознакомиться с базовыми концепциями SSL/TLS. В Ubuntu Server Guide есть вполне достойное объяснение на этот счет.

#ит_статьи #devops #ssl #gnutls #tls #security

Свежая критическая уязвимость в Linux: как один перевод строки даёт права root

В библиотеке libinput, которая отвечает за обработку кликов и движений мыши во всех современных Linux-десктопах (привет и Wayland, и X.Org), нашли опасную дыру. Она позволяет выполнить произвольный код с максимальными правами в системе.

Проблема кроется в хелпере libinput-device-group, который работает в связке с udev. Исследователь под ником Csome выяснил, что если создать виртуальное устройство (uinput/uhid) и засунуть в его имя (атрибут PHYS) обычный символ перевода строки (\n), udev сойдёт со ума.
Вместо одной строчки он прочитает две разные пары «ключ-значение». Эта классическая инъекция открывает прямую дорогу к arbitrary root code execution.

На первый взгляд эксплуатация почти бесполезна: чтобы создать такое устройство, обычно уже нужны права root. Но риск появляется там, где udev-правила расширяют доступ к /dev/uinput для обычного пользователя.

Самый яркий пример - пакеты steam-devices, antimicrox и kdeconnectd из той же Fedora. Например steam-devices даёт обычному юзеру права на создание устройств. И вуаля: любой залогиненный геймер на Steam-машине получает легальный путь для захвата контроля над всей системой. Мейнтейнер libinput Питер Хуттерер уже подтвердил масштаб проблемы.

Хорошим решением для всех будет срочно обновляться. Патч уже готов - уязвимость закрыта в версии libinput 1.31.3.

#ит_заметки #security #linux #libinput #steam

Нашел мод для Proxmox, который добавляет фичи, которых мне так не хватало „из коробки“

Время от времени я натыкаюсь на проекты с фичами, которые мне бы очень хотелось видеть в стандартном интерфейсе Proxmox. Сразу видно, когда такие инструменты создаются людьми, живущими не в стерильном мире демо-лабораторий с идеальной архитектурой, а теми, кто реально работал со стандартным функционалом и прекрасно знает все его «болячки» и узкие места.

Недавно я наткнулся на проект под названием PVE-Electrified. Это не замена стандартного UI Proxmox, а скорее дополнение, ориентированное на владельцев серверов с Proxmox, которым тоже недостаточно дефолтного UI. Позвольте показать вам этот крутой интерфейс и фичи, которые он добавляет - те самые, которых мне так не хватало «из коробки».

https://telegra.ph/Nashel-mod-dlya-Proxmox-kotoryj-dobavlyaet-fichi-kotoryh-mne-tak-ne-hvatalo-iz-korobki-06-06

#ит_статьи #devops #linux #proxmox #homelab #pve

Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04

Начиная с OpenSSH 9.7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. В Ubuntu 26.04 эта функция уже включена по умолчанию — даже если в sshd_config про неё ничего не написано. Предлагаю попробовать разобраться с тем, как это работает.

https://telegra.ph/Fail2Ban-bolshe-ne-nuzhen-Razbiraem-PerSourcePenalties-v-OpenSSH-na-Ubuntu-2604-06-07

#ит_статьи #devops #linux #network #ssh #fail2ban

Zellij: Современный терминальный мультиплексор для Linux

В мире Linux мультиплексоры терминалов являются важными инструментами для разработчиков, системных администраторов и опытных пользователей, поскольку они позволяют управлять несколькими сеансами терминала в одном окне, делая рабочий процесс более эффективным и организованным.

Один из новейших и наиболее интересных мультиплексоров терминалов, доступных сегодня, - Zellij. Это мультиплексор терминалов с открытым исходным кодом, предназначенный для упрощения и улучшения работы в командной строке.

В отличие от традиционных мультиплексоров, таких как tmux или screen, Zellij предлагает уникальную систему компоновки, простые в освоении сочетания клавиш и систему плагинов, которая позволяет настраивать программу.

https://telegra.ph/Zellij-Sovremennyj-terminalnyj-multipleksor-dlya-Linux-06-08

#ит_статьи #linux #shell #multiplexer #zellij

Коротко про IT рынок в 2026 году

#ит_юмор #вакансии #hr

Твой Kubernetes Pod постоянно ловит OOMKilled? В статье рассмотрим как это дабажить.

Обычно всё начинается со стандартного алерта в Kubernetes посреди ночи:

Pod OOMKilled (или что-нибудь в этом духе).

Вы открываете Grafana и мгновенно узнаете этот паттерн: Потребление памяти медленно растет часами. Под падает. Kubernetes убивает процесс. Контейнер перезапускается. Затем это происходит снова и снова.

kubectl top pods подскажет вам, какой именно под умирает. Но он почти ничего не скажет о том, почему это происходит. Самое паршивое - цифры часто не поддаются никакой логике. Ваш под, судя по метрикам, использует 1 ГБ памяти. Лимит установлен на 1.5 ГБ. А Kubernetes всё равно его убивает.

В старом добром мире Linux отлаживать такое было легко: Зайти по SSH на тачку. Запустить top. Исследовать память через pmap. Найти утечку.

Но современная инфраструктура изменила правила игры. Теперь ваше приложение работает внутри заблокированного distroless-контейнера, где нет ни оболочки (shell), ни инструментов отладки, ни возможности посмотреть, что вообще происходит внутри процесса.

Так как же отлаживать утечку памяти в среде, которая изначально спроектирована так, чтобы мешать вам это делать?

В этом руководстве мы разберем конкретные методы, которые SRE используют для расследования утечек памяти в Kubernetes, применяя внутренние механизмы Linux, pmap, smem, эфемерные контейнеры и eBPF.

https://telegra.ph/Tvoj-Kubernetes-Pod-postoyanno-lovit-OOMKilled-V-state-rassmotrim-kak-ehto-dabazhit-06-08

#ит_статьи #devops #linux #kubernetes #debug #ebpf #pmap #smem #cgroups

Cloudforce One в Cloudflare WAF: Threat Intelligence прямо в правилах

Cloudflare интегрировал индикаторы угроз от своей исследовательской команды Cloudforce One непосредственно в движок WAF. Теперь можно писать кастомные правила, опираясь не только на сигнатуры и геолокацию, но и на данные threat intelligence в реальном времени - без сторонних фидов и ручного обновления списков.

Как оно работает
При каждом запросе WAF на краю сети (Edge) выполняет lookup по IP-адресу источника и обогащает его контекстными полями cf.intel.*. Данные делятся на два уровня:
1. Thesis - глубокая атрибуция от Cloudforce One (результат активных киберисследований):
- is_malicious - флаг «IP-адрес зловредный»;
- threat_class - класс угрозы (botnet, command_and_control, cryptominer, phishing, scanner, exploit_kit, brute_forcer, tor, proxy);
- attack_group - конкретная хакерская группировка (APT29, Lazarus Group, FIN7);
- malware_family - семейство ВПО (Emotet, QakBot, TrickBot, Cobalt Strike);
- confidence_score - уровень уверенности системы (0–100);
- tags - дополнительные метки (known_attacker, residential_proxy, vpn, datacenter_proxy).
2. Reputation - поведенческая репутация IP на основе глобального трафика Cloudflare:
- ip_risk_score - общая оценка риска (0–100);
- ip_category - категория (benign, suspicious, malicious, high_risk);
- asn_name и asn_risk_score - данные об автономной системе и ее надежности.

Примеры кастомных правил
Блокировка ботнетов и C2-серверов:

cf.intel.thesis.threat_class in {"botnet" "command_and_control"}
# Действие: Block

Блокировка трафика от конкретного Threat Actor (например, APT29):

cf.intel.thesis.attack_group eq "APT29"
# Действие: Block

Комбинация класса угрозы с уровнем уверенности (Confidence):

cf.intel.thesis.confidence_score ge 80 and cf.intel.thesis.threat_class eq "brute_forcer"
# Действие: Block

Рейт-лимит для подозрительных IP с высоким риском:

cf.intel.reputation.ip_risk_score gt 60 and cf.intel.reputation.ip_category in {"suspicious" "high_risk"}
# Действие: Rate Limit (например, 10 req / 10s)

Что важно знать
- Никакого lag'а: Cloudforce One ведет непрерывные исследования. Как только новая инфраструктура атакующих обнаружена, данные мгновенно попадают на Edge-узлы WAF без участия администратора.
- Минимальная задержка: Все lookup-запросы происходят локально на краю сети Cloudflare, обработка запроса не замедляется.
- Гибкость: Новые поля можно комбинировать с любыми привычными параметрами WAF (гео, URI, User-Agent, AS-номера).
- Инфраструктура как код: Полная поддержка через Dashboard, API и провайдер Terraform.

Доступность
- Enterprise + Advanced Threat Intelligence add-on: полный доступ ко всем полям cf.intel.*.
- Enterprise (базовый): доступны только поля репутации cf.intel.reputation.*.
- Cloudflare One Enterprise: включено для клиентов с активной подпиской Cloudforce One.
- Pro / Business: в планах. Сейчас можно запросить ранний доступ через аккаунт-менеджера.

Резюме
Это важный сдвиг в концепции защиты: от реактивного «ловим атаки по известным сигнатурам в запросе» к проактивному «блокируем инфраструктуру злоумышленников по ходу ее выявления».

Практический смысл: если аналитики Cloudflare заматчили новые сервера Lazarus Group, ваш периметр защищен от них автоматически. Больше не нужно настраивать интеграции по STIX/TAXII, парсить кастомные фиды и переживать за лимиты IP-списков в файрволе. Такие дела.

#ит_заметки #devops #cloudflare #infosec

SSH + tmux: Настраиваем неубиваемый удаленный доступ

Будем честны: после стольких лет в администрировании, если бы мне пришлось выбрать всего один незаменимый инструмент, это определенно был бы SSH. Эта штука - буквально мастер-ключ от мира Linux: удаленный вход, передача файлов, проброс портов и даже обход файрволов. А если добавить к нему tmux - идеального напарника - то вы получите тот самый ультимативный опыт в администрировании под девизом "подключился и никогда не теряешь связь".

Сегодня мы детально разберем SSH со всех сторон: от базовой настройки до всяких хитрых трюков. Гарантирую, после прочтения вы выйдете на новый уровень понимания SSH.

https://telegra.ph/SSH--tmux-Nastraivaem-neubivaemyj-udalennyj-dostup-06-09

#ит_статьи #devops #linux #tmux #ssh #ntwork

Let's Encrypt обновила пользовательское соглашение, запретив использование сертификатов в странах под санкциями США

Let's Encrypt - крупнейший бесплатный центр сертификации, обеспечивающий HTTPS-сертификаты для сотен миллионов сайтов, - обновила своё пользовательское соглашение, включив прямой запрет на использование сертификатов на территориях, подпадающих под американские санкции.

Новость мгновенно взлетела в топ на Hacker News и вызвала бурную дискуссию. Чтобы потушить пожар, в комментарии пришел официальный представитель проекта и прояснил позицию.

Тезисно она звучит примерно так:
- Обычных пользователей это почти не затронет. Большинство американских санкций направлено против правительств конкретных стран, а не их населения. (тут владельцы Homelab могут выдохнуть, но на всякий случай не до конца).
- Сервис остается доступным. Проект «продолжает быть доступен почти для всех уязвимых групп населения в мире».
- Это просто бюрократия. Обновление текста нужно лишь для того, чтобы «лучше отразить юридические требования» США, и оно не несет за собой радикальных изменений в работе сервиса.

Итог: Сильно лучше после объяснения не стало. Закручивание гаек официальное, и никуда от этого не деться. Но к счастью на практике судя по всему для 99% рядовых пользователей и мелких проектов ничего не изменится.

#ит_новости #letsencrypt #certificates

Попробуйте Microceph для быстрого развертывания Ceph

Одно из решений программно-определяемых хранилищ (SDS), которое имеет большую популярность в корпоративной среде и уже добралось даже для любителей домашних лабораторий, - это Ceph. Ceph - мощная штука со множеством крутых преимуществ. Однако его настройка и управление могут нехило так напугать, если у вас раньше не было с ним опыта. Microceph - это реализация Ceph, которая упрощает развертывание кластера и управление им. Давайте посмотрим, как можно использовать Microceph для легкого деплоя Ceph.

https://telegra.ph/Poprobujte-Microceph-dlya-bystrogo-razvertyvaniya-Ceph-06-10

#ит_статьи #devops #storage #ceph #cloud #sds #proxmox

Не эникейщик, а IT-дьякон

#ит_юмор #warhammer40k

От SSH-туннелей к Tailscale

Де-факто стандартным инструментом для безопасного доступа через незащищенную сеть является ssh. В этом посте я хочу разобрать один конкретный аспект его работы - ssh-туннели, а затем на тех же примерах показать возможности Tailscale. Я предполагаю, что вы уже знакомы с базовыми концепциями ssh. В заметке я собрал практические примеры для командной строки, которые сам регулярно использую и к которым возвращаюсь как к личным заметкам.

https://telegra.ph/Ot-SSH-tunnelej-k-Tailscale-06-12

#ит_статьи #devops #ssh #tailscale #wireguard

Расширяем возможности Proxmox: кастомный запуск, мониторинг и управление питанием

Каждый раз, когда мой домашний сервер перезагружался, все виртуалки стартовали одновременно. Температура процессора улетала в космос, диски задыхались под дикой нагрузкой, и только через несколько минут всё это дело наконец утихомиривалось. На эту проблему можно было бы и забить, если бы не одно «но»: после каждого запуска мне приходилось ждать около 3–5 минут, прежде чем машиной вообще можно было пользоваться.

Это стало особенно заметно, потому что я намеренно отключаю сервер с 2 до 5 часов ночи. Активности в это время практически нет, а такое выключение снижает энергопотребление, дает железу остыть и помогает почистить накопившиеся мелкие глюки.

А спустя несколько дней домашние начали поговаривать, что медиасервер не всегда доступен.

Целевой уровень доступности (SLO) для медиасервера составлял не 99.9%, не 99.99% и не любое другое число с подозрительным количеством девяток.

Он составлял 100%.

Всё, что меньше, приравнивалось к критическому инциденту на продакшене. Так что, когда мне начали говорить, что сервер время от времени отваливается, я понял, что мне пдец.

https://telegra.ph/Rasshiryaem-vozmozhnosti-Proxmox-kastomnyj-zapusk-monitoring-i-upravlenie-pitaniem-06-13

#ит_статьи #devops #homelab #proxmox #bash #automation #monitoring

eBPF: объяснение для тех, кто никогда не писал модули ядра

Вы постоянно слышите про eBPF на конференциях, встречаете это слово в блогах (в том числе здесь) и описаниях вакансий. Эта статья - то самое объяснение, которое вам нужно, чтобы вся эта шумиха наконец обрела смысл. И написана она для людей, которые никогда не трогали код ядра и не планируют этого делать.

https://telegra.ph/eBPF-obyasnenie-dlya-teh-kto-nikogda-ne-pisal-moduli-yadra-06-13

#ит_статьи #devops #linux #kernel #ebpf

Новый инструмент container от Apple к которому определенно стоит присмотреться

Apple выкатила в опенсорс нативный рантайм контейнеров для macOS (анонсировали на WWDC 2025, написан на Swift). Вот несколько фишек, которые делают его интересным:

Одна легковесная виртуалка на контейнер: В отличие от Docker Desktop, где всё крутится внутри одной общей Linux-виртуалки, здесь каждый контейнер получает свою собственную микро-VM, которая стартует меньше чем за секунду. Изоляция крепче, и больше нет прожорливой, вечно запущенной виртуалки, съедающей оперативку.

Оптимизация под Apple Silicon: Штука построена на базе родного эппловского фреймворка Virtualization, так что на маках с чипами M-серии всё летает и не высаживает батарею.

Полная OCI-совместимость: Он спокойно пуллит стандартные образы из Docker Hub или любого другого реджистри - команда container run nginx:alpine заводится без проблем. Docker-файлы собираются как обычно.

У каждого контейнера свой IP (На macOS 26), так что вам зачастую даже не нужен маппинг портов - забудьте о конфликтах в духе -p 8080:80.

Но как же без docker-compose? Оказывается, для локальной разработки он не так уж и нужен. Compose в основном давал нам две вещи: service discovery и запуск одной командой. И то, и другое здесь решается легко:

sudo container system dns create test
container system property set dns.domain test

Теперь каждый именованный контейнер резолвится как <имя>.test - например, API может просто стучаться в db.test. А shell-скрипт строчек на 10 запустит весь стек в нужном порядке, заменяя собой compose up. Ну а если вам всё-таки позарез нужны настоящие файлы compose, комьюнити-инструменты (Container-Compose, socktainer) закроют этот пробел.

Бесплатно, с открытым исходным кодом и никакой лицензии Docker Desktop. Точно стоит потестить на каком-нибудь некритичном проекте.

Репозиторий: github.com/apple/container

https://telegra.ph/Novyj-instrument-container-ot-Apple-k-kotoromu-opredelenno-stoit-prismotretsya-06-15

#ит_статьи #devops #docker #macos #containers #oci

Чтож, господа линуксоиды, теперь у нас на один аргумент меньше против Windows

Впрочем ладно, я зря драматизирую. AUR всегда был изрядной помойкой. Так что новость не удивительна (удивителен скорее масштаб).

Для тех кто всё еще не в курсе (хотя у арчеводов подгорает уже почти неделю). История следующая:
Более 1500 пакетов в Arch User Repository оказались заражены малварью в результате скоординированной атаки на цепочку поставок.

Атака была обнаружена на прошлой неделе. Злоумышленники загрузили скомпрометированные PKGBUILD-файлы, которые при сборке пакетов выполняли вредоносный код. Arch-команда уже объявила, что инцидент взят под контроль. Но это не отменяет масштаба трагедии. Свыше 1500 пакетов - это определённо дофига.

#ит_юмор #ит_заметки #linux #arch #aur

Заметка о том, как на самом деле работает лимит памяти в Kubernetes: cgroups v2, overcommit и суровый OOM Killer

В мире Kubernetes принято считать, что requests и limits - это надежные границы, которые полностью изолируют приложения. По факту же, когда память на ноде заканчивается, абстракции кубера отходят на второй план, и в игру вступают механизмы ядра Linux.

Решил разобраться в деталях и провел серию тестов в песочнице (ALT Linux 11, Minikube на Proxmox). Ниже - что из этого получилось.

Важно сразу разделить три разных сценария:
- memcg OOM - контейнер упёрся в собственный memory limit.
- kubelet eviction - kubelet заметил давление по ресурсам на ноде и начал выселять pod’ы.
- global OOM - памяти на ноде не хватило быстрее, чем kubelet успел что-либо сделать, и сработал kernel OOM Killer.

Если смешать эти три механизма, легко случайно сделать неправильные выводы.

https://telegra.ph/Nebolshaya-zametka-o-tom-kak-na-samom-dele-rabotaet-limit-pamyati-v-Kubernetes-cgroups-v2-overcommit-i-surovyj-OOM-Killer-06-15

#ит_статьи #devops #kubernetes #linux #minukube #alt #cgroups #OOMKiller #overcommit

Когда баз много, администрирование превращается в ручное управление хаосом: серверы, кластеры, бэкапы, мониторинг и диагностика.

🐘 Postgres Professional на бесплатном вебинаре покажет, как управлять множеством баз через единый веб-интерфейс Postgres Pro Enterprise Manager.

📊 Это графическая платформа для DBA, DevOps, архитекторов и технических лидеров. Она входит во все редакции Postgres Pro и решает задачи администрирования без ручного написания SQL-команд.

На вебинаре покажут, как с помощью PPEM:

✅ Мониторить инфраструктуру

✅ Управлять экземплярами БД

✅ Работать с бэкапами

✅ Искать проблемы и ускорять диагностику

🤖 Отдельно покажут ИИ-ассистента в новой версии платформы: он обращается к документации и помогает быстрее решать типовые задачи.

📅 30 июня, вторник, 11:00 по Москве, продолжительность — 2 часа с Q&A.

Регистрируйтесь и приходите посмотреть PPEM в деле. Участие бесплатное.

Вышло ядро Linux 7.1: новый NTFS-драйвер, Intel FRED по умолчанию и большая чистка старого кода

Линус Торвальдс выпустил стабильную версию Linux 7.1 - первый крупный релиз после перехода ветки на 7.x. За два месяца разработки в ядро приняли 17 275 исправлений от 2589 разработчиков; патч затронул более 13 тысяч файлов.

Главное новшество для обычных пользователей и админов - появление нового драйвера ntfsplus. Это новая реализация NTFS на базе старого удалённого драйвера ntfs, но переработанная под современные механизмы ядра: folios, iomap, отложенное выделение блоков и полноценную запись. По тестам, на многопоточной записи ntfsplus может заметно обходить ntfs3, хотя старый ntfs3 из ядра не удалён и продолжает развиваться.

Из других заметных изменений:
- Intel FRED включён по умолчанию - новый механизм обработки исключений и низкоуровневых событий в CPU. Он должен снизить накладные расходы и повысить надёжность на будущих процессорах Intel, включая Panther Lake.
- В io_uring добавили поддержку BPF-обработчиков.
- В ublk появился zero-copy I/O через разделяемую память.
- В Btrfs стабилизировали ioctl shutdown, переводящий ФС в режим завершения текущих операций с блокировкой новых.
- В amd-pstate добавлено динамическое переключение профилей питания: производительный режим от сети и более сбалансированный - от батареи.
- Продолжается развитие Rust for Linux, включая обновление требований к Rust до версии 1.85 и новые вспомогательные механизмы для модулей.
- В sched_ext появилась начальная поддержка вложенных планировщиков для cgroup.
- Подсистема swap получила новый механизм Swap Table, который должен уменьшить расход памяти и повысить производительность.

Отдельно стоит отметить чистку старого кода. В Linux 7.1 начался первый этап отказа от поддержки i486: из Kconfig и Makefile убрали опции сборки под 486DX, 486SX и AMD ELAN. Также из ядра удалили поддержку ряда старых Ethernet-адаптеров ISA/PCMCIA, подсистему ISDN, протоколы AX.25, CAIF, UDP-Lite и Bluetooth CMTP. В сумме это минус более 140 тысяч строк плохо сопровождаемого кода.

Для графики тоже есть обновления: продолжается развитие драйвера Intel Xe для Arc и встроенной графики Intel, добавлена поддержка графической подсистемы Nova Lake-P, а в Nouveau появилась начальная поддержка NVIDIA GA100. Параллельно продолжается интеграция Rust-драйвера Nova для NVIDIA GPU с GSP-прошивками.

Одновременно вышел и GNU Linux-libre 7.1-gnu - полностью свободная версия ядра без бинарных блобов и кода, загружающего несвободные прошивки. В этом выпуске исправили сборку с Rust, обновили очистку кода для Nova-core, amdgpu, btmtk, ath12k, mt792x, mt7996, r8169 и других драйверов, а также добавили очистку новых драйверов Lontium LT8713SX DP MST bridge и Realtek 802.11be 8922D.

Впрочем будем честны: для большинства пользователей выход Linux 7.1 - событие почти неощутимое. Новых пользовательски заметных возможностей, сопоставимых с мажорным релизом, по сути нет. Да, в ядро добавлен ещё один драйвер NTFS. Теперь их два - ntfs3 и ntfsplus (впрочем для тех кто намаялся работать через FUSE с Windows-разделами из-под Linux - это пожалуй отличная новость). Включён по умолчанию Intel FRED, который полезен только владельцам свежих CPU, и продолжился постепенный дрейф в сторону Rust - тема, которая реально волнует разве что адептов самого Rust и узкий круг разработчиков драйверов. Реальный практический результат 7.1 - это чистка кодовой базы: удаление мёртвого кода, протоколов-зомби и некомпилируемых драйверов, которые годами числились в ядре только потому, что никто не решался их выкинуть.

#ит_заметки #linux #kernel #release