#анонсы #жиза

Всех с прошедшими праздниками!

Те, кто читает меня с самого начала, помнят мои древние посты про ранние этапы моей карьеры, релокацию в Нидерланды и прочие приключения.

Я дал интервью изданию Highload, где рассказываю о том чем занимался до того, как завел канал, и как изменилась моя жизни после. Кому интересно, милости прошу: часть первая, вторая и третья.

От себя добавлю небольшую деталь, которая часто упускается из виду. По интервью может показаться, что практически вся моя карьера это путь сольного игрока, что конечно же неправда.

Многим моим достижениям, от регистрации на Monster.com до дачи самого интервью изданию я обязан своей супруге. Практически с самого нашего знакомства Н. выступает моим ближайшим союзником и самым главным и единственным, прости Господи, консультантом.

Если бы не она, меня бы тут с вами не было, а мой успех в том числе результат ее, иногда прямых, действий.

Надо бы ещё ffmpeg запретить, а то мало ли чего

> Звукозаписывающие компании Sony Entertainment, Warner Music Group и Universal Music подали в Германии судебный иск против провайдера Uberspace, который предоставляет хостинг для официального сайта проекта youtube-dl. В ответ на ранее отправленный внесудебный запрос о блокировке youtube-dl компания Uberspace не согласилась отключить сайт и выразила несогласие с предъявляемыми претензиями. Истцы настаивают на том, что youtube-dl является инструментом для нарушения авторских прав и пытаются преподнести действия Uberspace как соучастие распространению незаконного ПО.

Звукозаписывающие компании подали иск за предоставление хостинга проекту Youtube-dl
https://www.opennet.ru/opennews/art.shtml?num=56518

A Kubernetes operator for declarative database schema management (gitops for database schemas)
https://github.com/schemahero/schemahero
+
SchemaHero - Database Schema Migrations Inside Kubernetes
https://www.youtube.com/watch?v=SofQxb4CDQQ

В конце декабря прошлого года, после почти 4 годичного перерыва обновился один из самых популярных сетевых снифферов - Intercepter NG… И в честь этого, знаменательного события, мы пригласили одного из самых видных экспертов в области MITM атак и по совместительству, автора этого легендарного инструмента - Ares -а

В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools

Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!

В белой-белой компании Luntry
Белый-белый хакер Дмитрий Евдокимов (@Qu3b3c)
Пишет прозрачно-белый observability для k8s
В таких условиях легко найти черный код... или не все так чисто?

Детективная история будет разворачиваться прямо у вас в ушах уже в эту cleaning-пятницу в 20:00 на подкасте в DevOps-курилке.
Шерлок Фиделина, Хомяк-Холмс и what's up?

Рекомендации: Чтобы следить за ходом расследования желательно подключаться с desktop машинки, так будет виднее)

При поддержке @k8security <—- Дмитрий Белый Евдокимов именно здесь обитает) @devops_ru @devops_jobs
——-

Произошёл вброс

Kubernetees and Microservices, how did we get from 'Simple' to 'Spaghetti'??

https://www.reddit.com/r/csharp/comments/s7d7qb/kubernetees_and_microservices_how_did_we_get_from/

Сделал мем по мотивам https://xn--r1a.website/oleg_log/5319

Настоящие мужики херачат код на ардуино и не говорят «это только прототип», потому что так говорят только закомплексованные и неуверенные в себе эмбеддеры. Если мужик хочет написать код под ардуино, он не обязан никому ничего доказывать. Его воля несгибаема, как дамасская сталь, разум чист, как горный хрусталь, а рука быстра, как затворный механизм старого-доброго ремингтона. Мужчина всегда уверен в своём выборе и, если он хочет устройство из ардуины на ЛУТ плате в тридепечатном корпусе, значит так нужно. Это и отличает сопливого, не уверенного в своей ориентации юнца от настоящего мужчины.

RCE в Dark Souls 3

It is now possible for Dark Souls 3 invaders to run code on your PC without permission. AKA RCE, Remote Code Execution. This same hack is possible in Elden Ring.
https://www.reddit.com/r/Eldenring/comments/s9wai2/it_is_now_possible_for_dark_souls_3_invaders_to/

Flipper Zero — мы начали доставку
https://habr.com/ru/company/flipperdevices/blog/647341/

Чат камунити @flipperzero

Researchers from Qualys today published an advisory about a local privilege escalation vulnerability in the pkexec tool, that is installed as part of the Polkit (formerly PolicyKit) package.
. . .
Now, there are three scary things about this vulnerability:

- It has been around for 12+ years (!!!) since it was introduced in a commit to pkexec in May 2009

- The affected version of pkexec is installed with all popular Linux distributions: Ubuntu, Debian, Fedora and CentOS

- It is very simple to create the exploit, and it works 100% reliable

Local privilege escalation vulnerability in polkit's pkexec (CVE-2021-4034)
https://isc.sans.edu/diary/rss/28272

Коммит с патчем
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683

PoC CVE-2021-4034
https://github.com/berdav/CVE-2021-4034

How I Discovered Thousands of Open Databases on AWS
https://infosecwriteups.com/how-i-discovered-thousands-of-open-databases-on-aws-764729aa7f32

#машины_aws

Одно из моих любимых занятий - ковырять нелюбимые инструменты, чтобы не любить их экспертно и за дело. Один из таких инструментов - CodeDeploy - до неприятия муторный, сложный и противный.

Чего только стоит необходимость запускать Shell скрипты из spec-файла. Да, даже если весь скрипт состоит из одной команды.

Предлагаю разделить мою нелюбовь и начать эту неделю с мультирегионального развертывания приложений с помощью CodePipeline и CodeDeploy. Да еще и на виртуальные машины, чтоб жизнь совсем уж медом не казалась.

Я сделал rm -rf /* прод сервера, на новом месте работы.

Давайте внимательно разберём все ошибки, что есть в огрызке скрипта выше.
1. set +x совершенно бесполезен
2. Все строковые значения подаются в " " кавычках
3. Нет обработки ошибок
4. АВТОЗАМЕНА ЗЛО

Поехали

1. set +x
set - Set or unset values of shell options and positional parameters.
-x Print commands and their arguments as they are executed.
Using + rather than - causes these flags to be turned off.

set -x очень крутой инструмент для дебага баш скриптов
"> не понимаешь что происходит? Врубай set -x"

Эта штука печатает тебе в консоль по мере выполнения скрипта каждую команду и сразу же подставляет значения всех используемых переменных, регулярно использую её когда пишу/дебажу новые скрипты.

Что я сделал не так ? Зачем-то поставил +x вместо -x тем самым отключив и так нерабочий флаг.
Глупая опечатка, но не критичная, идём дальше.

2. " " вместо ' '

Enclosing characters in single quotes (') preserves the literal value of each character within the quotes. A single quote may not occur between single quotes, even when preceded by a backslash.

Enclosing characters in double quotes (") preserves the literal value of all characters within the quotes, with the exception of $, , \`etc..

Если по-простому, '' - нет интерполяции "" - есть интерполяция
https://en.wikipedia.org/wiki/String_interpolation

Пример

Двойные кавычки раскрывают переменные

apples=4
echo "I have ${apples} apples"

#I have 4 apples

Одинарные кавычки ничё не раскрывают

apples=4
echo 'I have ${apples} apples'

#I have ${apples} apples

Самая правильная практика которой меня учил мой очень умный начальник на прошлой работе:

Строки которые в себе не содержат переменных ВСЕГДА должны быть в ' ' кавычках
Настрой себе линтеры, что бы проверяло постоянно
Используй линтеры!

Если бы я сразу прогнал линтер, что бы он автоматически заменил все кавычки там где нужно, проблемы можно было бы избежать.
Но я этого не сделал и я сам себе дурак. Next

3. set -euo pipefail

Всегда и везде нужно использовать вот эту волшубную строчку.
Разберём её по пунктам.

  -e  Exit immediately if a command exits with a non-zero status.
  -u  Treat unset variables as an error when substituting.
  -o <option-name> pipefail
    the return value of a pipeline is the status of
    the last command to exit with a non-zero status,
    or zero if no command exited with a non-zero status

Суммарно получаем падение в любой непонятной ситуации, что очень безопасно, но временами не очень удобно
С этими параметрами нельзя будет обрабатывать ошибки как

if [[ $? != 0 ]]; then

Потому что скрипт закончит выполнение сразу как команда упадёт даже не дойдя до if проверки
и нужно саму команду заключать в if


if command; then

Я привык к тому что у меня во всех скриптах этот параметр уже есть и не обратил внимания на его отсутствие.
Если бы этот параметр был указан, то скрипт бы завалился ещё на строчке

maria_dump.sh: line 5: backup_dir: unbound variable

И проблемы можно было бы избежать.

4. Чёртова автозамена и глупая невнимательность

Дурацкая ошибка, я сделал автозамену /data на ${backup_dir} и тем самым испортил строку, где переменная изначально задавалась. Из-за этой глупости я теперь и переустанавливаю

5. Всё остальное
Переписывать чужой скрипт на ходу, по кусочкам меняя нужные места, приведёт к тому, что ты что-то упустишь.
Запускать rm -rf без проверки опасно, даже если ты уверен, что всё збс.

К этому моменту я уже совсем устал и забыл чё надо добавить