Как мы настраивали PostgreSQL для использования в качестве кэша

https://habr.com/ru/companies/billing/articles/753268/

По данным следствия, в 2022 году обвиняемый, будучи администратором информационной безопасности на предприятии, подключил свой рабочий компьютер к интернету и скачал из открытых источников программное обеспечение FreeRADIUS, которое он установил на сервере системы контроля доступа Cisco Secure ACS. Эта система была использована для организации безопасного доступа к информационным ресурсам предприятия, в том числе к объектам критической информационной инфраструктуры (КИИ).

Следствие считает, что таким образом обвиняемый нарушил правила работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия. По версии ФСБ, он мог дать возможность злоумышленникам получить доступ к конфиденциальной информации или провести атаку на сервер.
. . .
Суд не учел эти доводы и основался на показаниях свидетелей, в том числе начальника обвиняемого, который дал ему задание найти замену системе Cisco Secure ACS. Суд также принял во внимание заключения экспертов, которые подтвердили наличие угрозы для безопасности информационных ресурсов предприятия.

Сисадмин оборонного предприятия получил условный срок за использование бесплатного ПО
https://www.securitylab.ru/news/540852.php

Весь сок в приговоре

виртуальная машина была подготовлена им для дальнейшего использования. После это перед ним возник вопрос установки «free-RADIUS», однако поскольку в «Linux» установочные пакеты программы выложены на репозиториях конкретных производителей операционных систем, производители проверяют данные установочные пакеты на отсутствие вредоносных вирусов...Соответственно, самая надежная установка в «Linux» осуществляется через сеть Интернет путем обращения к официальному репозиторию производителю - компании «RedHat»...В связи с этим он принял решение применить самый надежный и самый быстрый способ установки на виртуальную машину «free-RADIUS» путем дачи возможности виртуальной машине на время выйти в сеть Интернет, чтобы она скачала установочные «файлики». 
. . .
Таким образом...средства и способы защиты от проникновения в сеть ИВС предприятия, на которые указывает подсудимый и его защитник - технология NАТ (базовая настройка маршрутизатора), proxy-сервер, межсетевые экраны, иные средства и способы, не обеспечивают полную защиту от проникновения сторонних пользователей в периметр объектов ЦОД и, при наличии прямого запрета на подключение к сети Интернет, в обход установленных Положением правил, не исключают преступности действий подсудимого.

При этом, суд отмечает, что доводы подсудимого относительно применения им всех известных ему технических мер (аппаратных и программных) с целью исключения возможных угроз безопасности информационно-телекоммуникационной сети предприятия, прямо свидетельствуют о том, что подсудимый осознавал, что своими действиями нарушает безопасность доступа и эксплуатации обрабатываемой и хранящейся в ЦОД информации и понимал последствия этого в виде возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ.

https://kirovsky--sam.sudrf.ru/modules.php?name=sud_delo&name_op=case&_id=279651458&_uid=a8aaa2ce-0262-4641-b276-7d33e022f7c9&_deloId=1540006&_caseType=0&_new=0&_doc=1&srv_num=

КИИ РФ третьей категории это вам не в тапки срать (на самом деле самая низкая по требованиям).

Исследуем внутренности Linux версии 0.01
https://habr.com/ru/articles/754322/

Оригинальный пост
https://seiya.me/blog/reading-linux-v0.01

#prog #rust #article

How to improve Rust compiler's CI in 2023

Writing a Good Node.js Dockerfile
https://devopsdirective.com/posts/2023/03/writing-a-nodejs-dockerfile/

Выложили доклады с SREcon23 Asia/Pacific

Плейлист
https://www.youtube.com/playlist?list=PLbRoZ5Rrl5ldnsuIyb3X-t6zG3IDcnaRn

Программа
https://www.usenix.org/conference/srecon23apac/program

За ссылку спасибо подписчику.

🫡

As part of the same process outlined in Matthias Clasen's "LibreOffice packages" email, my management chain has made the decision to stop all upstream and downstream work on desktop Bluetooth, multimedia applications (namely totem, rhythmbox and sound-juicer) and libfprint/fprintd. The rest of my upstream and downstream work will be reassigned depending on Red Hat's own priorities (see below), as I am transferred to another team that deals with one of a list of Red Hat’s priority projects.

I'm very disappointed, because those particular projects were already starved for resources: I spent less than 10% of my work time on them in the past year, with other projects and responsibilities taking most of my time.

New responsibilities
https://www.hadess.net/2023/08/new-responsibilities.html

🛠 Hotspot - GUI для работы с данными от perf.

На Github проекта доступно описание, снимки экрана, примеры работы и информация о репозиториях для установки...

https://github.com/KDAB/hotspot

#perf #tool

Во FreeBSD принято изменение, меняющее в коде инициализации ядра (sysinit) алгоритм сортировки массивов. Вместо ранее применявшегося алгоритма пузырьковой сортировки в sysinit задействован более эффективный алгоритм сортировки слиянием, что позволило на 2 мс сократить время загрузки ядра в виртуальных машинах Firecracker.

Замена алгоритма сортировки в sysinit позволила ускорить загрузку FreeBSD
https://www.opennet.ru/opennews/art.shtml?num=59634

Пентест замков.

Написал очередной костыль-плагин который обновляет CRDs из хельм-чартов:
https://github.com/kvaps/helm-ensurecrds

Trunk-based development та GitFlow

- Андрій Горобченко, Bored DevOps Engineer в Vareger Group
- Валерія Іванова, DevOps Team Lead at Plarium
- Дмитро Стрілецький, Senior Software Engineer в Plum

Язык: украинский

Оригинал: https://www.youtube.com/watch?v=RB_vgY0pKqg

В чат @ru_gitlab принесли прикольное

Изначальная задача

> Парни, подскажите в доке не нашел, для локального гитлаба, нету функции approved merge ?

Суть в том, что в бесплатной версии нет возможности заблокировать merge без нужных подтверждений.

Решение (реализация в yaml-файл)

Если тебе еще актуально, то вот моя реализация этого задачи.
Это лежит в репе support-cd, в которую доступ у всех разработчиков только для чтения.
Требования:
- Лишаем разработчиков админских прав
- В проектах самая высокая роль developer
- maintainer только у тех юзера
- Для репозиториев задается место хранения .gitlab-ci.yml на control-repo
- там у всех только репортер, для редактирования определенным пользователям
- В проектах стоит настройка, merge разрешен при Сборочные линии должны успешно выполниться

Порядок действий:
- Разработчик создал ветку, залил код, создает MR
- Валидирующий проверяет, если ок, ставит like
- Запускают пайплайн в окне статуса MR
- Проверяется, что есть лайки от уполномоченных пользователей
- Если
- - все ок, отправляет сообщение в ТГ о валидности, можно делать merge
- - - нет лайков совсем, вывалит ошибку в тг и консоль, merge нельзя
- - - нет лайков от уполномоченных пользователей, вывалит ошибку в тг и консоль
+
Взято из
Code review в Gitlab CE: если Merge request approvals нет, но очень хочется
https://habr.com/ru/articles/488296/

We're ready to announce Call For Papers for a future security meetup.

Submit your ideas to:
1. @Reworr_R;
2. @curiv.

Possible topics are:
- hardware sec;
- physical sec;
- OS sec;
- blockchain/web3 security;
- privacy;
- wireless sec;
- web/internal sec;
- social engineering;
- OSINT.

CFP Due date: 31.08.2023
Meetup date: ~22.09.2023

@defcon_tbilisi

> openSUSE-welcome

Добро пожаловать, уходите.

В приложении openSUSE-welcome, применяемом в дистрибутиве openSUSE для ознакомления новых пользователей с особенностями системы, выявлена уязвимость (CVE-2023-32184), позволяющая выполнить код с правами другого пользователя. Приложение openSUSE-welcome запускается автоматически после первого входа пользователя в систему и в случае выбора графического окружения Xfce предлагает возможность включения альтернативных вариантов раскладки элементов на рабочем столе. Обработчик, выполняющий выбор раскладки, некорректно обрабатывал временные файлы, что позволяло другому пользователю организовать выполнение своего кода с правами жертвы, перешедшего к выбору раскладки рабочего стола Xfce.

Уязвимость вызвана тем, что в методе PanelLayouter::applyLayout() использовался фиксированный каталог "/tmp/layout" для сохранения tar-архива с настройками Xfce. Архив с настройками обрабатывался через вызов встроенного Python-скрипта, который в свою очередь вызывал скрипт "/usr/share/xfce4-panel-profiles/xfce4-panel-profiles/panelconfig.py" от проекта Xfce. В коде PanelLayouter::applyLayout() выполнялась проверка наличия каталога "/tmp/layout", но не учитывались коды ошибок, возвращаемые функциями удаления и копирования данных, что в случае размещения вместо каталога "/tmp/layout" файла с тем же именем приводило к продолжению выполнения функции, несмотря на возвращаемые ошибки. В итоге, атакующий получал возможность управлять данными, передаваемыми Python-скрипту.

Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем
https://www.opennet.ru/opennews/art.shtml?num=59651