Произошёл вброс

Kubernetees and Microservices, how did we get from 'Simple' to 'Spaghetti'??

https://www.reddit.com/r/csharp/comments/s7d7qb/kubernetees_and_microservices_how_did_we_get_from/

Сделал мем по мотивам https://xn--r1a.website/oleg_log/5319

Настоящие мужики херачат код на ардуино и не говорят «это только прототип», потому что так говорят только закомплексованные и неуверенные в себе эмбеддеры. Если мужик хочет написать код под ардуино, он не обязан никому ничего доказывать. Его воля несгибаема, как дамасская сталь, разум чист, как горный хрусталь, а рука быстра, как затворный механизм старого-доброго ремингтона. Мужчина всегда уверен в своём выборе и, если он хочет устройство из ардуины на ЛУТ плате в тридепечатном корпусе, значит так нужно. Это и отличает сопливого, не уверенного в своей ориентации юнца от настоящего мужчины.

RCE в Dark Souls 3

It is now possible for Dark Souls 3 invaders to run code on your PC without permission. AKA RCE, Remote Code Execution. This same hack is possible in Elden Ring.
https://www.reddit.com/r/Eldenring/comments/s9wai2/it_is_now_possible_for_dark_souls_3_invaders_to/

Flipper Zero — мы начали доставку
https://habr.com/ru/company/flipperdevices/blog/647341/

Чат камунити @flipperzero

Researchers from Qualys today published an advisory about a local privilege escalation vulnerability in the pkexec tool, that is installed as part of the Polkit (formerly PolicyKit) package.
. . .
Now, there are three scary things about this vulnerability:

- It has been around for 12+ years (!!!) since it was introduced in a commit to pkexec in May 2009

- The affected version of pkexec is installed with all popular Linux distributions: Ubuntu, Debian, Fedora and CentOS

- It is very simple to create the exploit, and it works 100% reliable

Local privilege escalation vulnerability in polkit's pkexec (CVE-2021-4034)
https://isc.sans.edu/diary/rss/28272

Коммит с патчем
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683

PoC CVE-2021-4034
https://github.com/berdav/CVE-2021-4034

How I Discovered Thousands of Open Databases on AWS
https://infosecwriteups.com/how-i-discovered-thousands-of-open-databases-on-aws-764729aa7f32

#машины_aws

Одно из моих любимых занятий - ковырять нелюбимые инструменты, чтобы не любить их экспертно и за дело. Один из таких инструментов - CodeDeploy - до неприятия муторный, сложный и противный.

Чего только стоит необходимость запускать Shell скрипты из spec-файла. Да, даже если весь скрипт состоит из одной команды.

Предлагаю разделить мою нелюбовь и начать эту неделю с мультирегионального развертывания приложений с помощью CodePipeline и CodeDeploy. Да еще и на виртуальные машины, чтоб жизнь совсем уж медом не казалась.

Я сделал rm -rf /* прод сервера, на новом месте работы.

Давайте внимательно разберём все ошибки, что есть в огрызке скрипта выше.
1. set +x совершенно бесполезен
2. Все строковые значения подаются в " " кавычках
3. Нет обработки ошибок
4. АВТОЗАМЕНА ЗЛО

Поехали

1. set +x
set - Set or unset values of shell options and positional parameters.
-x Print commands and their arguments as they are executed.
Using + rather than - causes these flags to be turned off.

set -x очень крутой инструмент для дебага баш скриптов
"> не понимаешь что происходит? Врубай set -x"

Эта штука печатает тебе в консоль по мере выполнения скрипта каждую команду и сразу же подставляет значения всех используемых переменных, регулярно использую её когда пишу/дебажу новые скрипты.

Что я сделал не так ? Зачем-то поставил +x вместо -x тем самым отключив и так нерабочий флаг.
Глупая опечатка, но не критичная, идём дальше.

2. " " вместо ' '

Enclosing characters in single quotes (') preserves the literal value of each character within the quotes. A single quote may not occur between single quotes, even when preceded by a backslash.

Enclosing characters in double quotes (") preserves the literal value of all characters within the quotes, with the exception of $, , \`etc..

Если по-простому, '' - нет интерполяции "" - есть интерполяция
https://en.wikipedia.org/wiki/String_interpolation

Пример

Двойные кавычки раскрывают переменные

apples=4
echo "I have ${apples} apples"

#I have 4 apples

Одинарные кавычки ничё не раскрывают

apples=4
echo 'I have ${apples} apples'

#I have ${apples} apples

Самая правильная практика которой меня учил мой очень умный начальник на прошлой работе:

Строки которые в себе не содержат переменных ВСЕГДА должны быть в ' ' кавычках
Настрой себе линтеры, что бы проверяло постоянно
Используй линтеры!

Если бы я сразу прогнал линтер, что бы он автоматически заменил все кавычки там где нужно, проблемы можно было бы избежать.
Но я этого не сделал и я сам себе дурак. Next

3. set -euo pipefail

Всегда и везде нужно использовать вот эту волшубную строчку.
Разберём её по пунктам.

  -e  Exit immediately if a command exits with a non-zero status.
  -u  Treat unset variables as an error when substituting.
  -o <option-name> pipefail
    the return value of a pipeline is the status of
    the last command to exit with a non-zero status,
    or zero if no command exited with a non-zero status

Суммарно получаем падение в любой непонятной ситуации, что очень безопасно, но временами не очень удобно
С этими параметрами нельзя будет обрабатывать ошибки как

if [[ $? != 0 ]]; then

Потому что скрипт закончит выполнение сразу как команда упадёт даже не дойдя до if проверки
и нужно саму команду заключать в if


if command; then

Я привык к тому что у меня во всех скриптах этот параметр уже есть и не обратил внимания на его отсутствие.
Если бы этот параметр был указан, то скрипт бы завалился ещё на строчке

maria_dump.sh: line 5: backup_dir: unbound variable

И проблемы можно было бы избежать.

4. Чёртова автозамена и глупая невнимательность

Дурацкая ошибка, я сделал автозамену /data на ${backup_dir} и тем самым испортил строку, где переменная изначально задавалась. Из-за этой глупости я теперь и переустанавливаю

5. Всё остальное
Переписывать чужой скрипт на ходу, по кусочкам меняя нужные места, приведёт к тому, что ты что-то упустишь.
Запускать rm -rf без проверки опасно, даже если ты уверен, что всё збс.

К этому моменту я уже совсем устал и забыл чё надо добавить

Выложены доклады Cloud Native Rejekts NA 2021

https://www.youtube.com/playlist?list=PLnfCaIV4aZe-zfevMfYNGHHdB04ZHTLI-

Слава Патрику!

После шести лет затишья вышел Slackware 15.0.

Сам анонс
http://www.slackware.com/announce/15.0.php

Release Notes
http://www.slackware.com/releasenotes/15.0.php

ISO
https://mirrors.slackware.com/slackware/slackware-iso/slackware64-15.0-iso/

Список зеркал
https://mirrors.slackware.com/mirrorlist/

Зачем нужна Слака в современном мире не очень понятно, но уже качаю, буду посмотреть, что там сделали.