11261
Самый официальный канал единственного и неповторимого подкаста linkmeup. Хотите с нами поговорить? @LoxmatiyMamont
А мы продолжаем говорить про ЦОДы!
И в этот раз больше про деньги, потому что про деньги разговаривать всегда интересно.
https://boosty.to/linkmeup/posts/f7e46ea9-e023-4bed-a717-c36ba3e62aa3
https://www.patreon.com/posts/sysadmins-no-47-108073921
https://sponsr.ru/linkmeup/59705/sysadmins_47_TEOlogiya_COD_chast2
BGP reverse proxy and firewall. Описание столь же лаконичное, как и загадочное.
Взлетит?
https://github.com/bgpfix/bgpipe
Через пару минут начнём говорить про OCP (и нет, Робокоп тут ни при чём)
YT: https://youtube.com/video/VY5gmqPmJXs
Сайт: https://live.linkmeup.ru/
Музычка уже играет
Скажу честно, не знал о таком. Хотя и не так часто возникает необходимость через SSH врубиться на виндовую тачку, но факт, что он игнорит Deny Logon restriction policy – это прям смешно.
Воображение сразу рисует контроллер домена, куда может залогиниться каждый. Но зачем там SSH? А с другой стороны, а вдруг...
https://it-pro-berlin.de/2024/07/use-ssh-on-windows-they-said/
P.S. Умные люди говорят, что надо настроить "Deny access to this computer from the network" т.к. "Deny log on..." действительно не распространяется на логины через WinRM и SSH. Так что не баг, а фича, позволяющая отстрелить себе всё.
Так, раз уж тут недавно все активно накинулись защищать Windows Defender, давайте хоть всем расскажем, как его настраивать адекватно.
https://jeffreyappel.nl/common-mistakes-during-microsoft-defender-for-endpoint-deployments/
Анонс №5. Astra Linux и все-все-все
Мы таки приоткрываем завесу тайны и поговорим об Astra Linux и обо всём, что с ним связано.
В гостях как дома:
Роман Мылицын, начальник отдела перспективных технологий, исследований и разработки «Группы Астра»
• Что такое «Группа Астра», какие цели и задачи у компании?
• Фундамент экосистемы: Astra Linux, как он создаётся, какие отличия от других дистрибутивов и в чём особенности?
• Какие продукты есть в портфеле «Группы Астра»?
• Разработка продукта внутри контура или покупка готового решения, в рамках стратегии M&A – на основании чего принимается решение?
• Есть проблемы с совместимостью решений? Как происходит синхронизация дорожных карт?
• ПАКи – это достаточно дорогой продукт, и не все заказчики видят выгоду. Какой подход для популяризации решения используется? Какие ПАКи уже представлены?
• Совместимость продуктов с железом и софтом. Вы выходите к производителям или они к вам приходят? Из чего строится процесс проверки решений на совместимость?
• Если разработчик хочет, чтобы его приложение было адаптировано под Astra Linux, что он должен сделать по шагам?
• Как попасть к вам на работу (требования, кого ищете)?
• IPO, SPO, «где деньги, Зин?»
• Прочее интересное и полезное
Когда: 10.07.2024 19:00 ссылка на наш календарь
Обязательно задаём свой вопрос в чате подкаста тегом #вопрос5, за лучшие из них будут разыграны призы!
Анонимные вопросы можно задавать тут.
Трансляция будет здесь и тут
Не мы такие, а жизнь такая: европол плакается, что понавключали у себя сквозного шифрования, а им SMS-трафик не перехватить и плохих дядь не отследить. Особенно тех, кто с симками из других стран приезжает, потому что такие пассажиры для них вообще тёмное пятно.
Поэтому знаете, что? Поэтому они на всём серьёзе предлагают запретить все заигрывания с PET в Home Routing.
https://www.europol.europa.eu/cms/sites/default/files/documents/Europol%20-%20Position%20paper%20on%20Home%20routing.pdf
Когда решение примут, ты, юзернейм, не перепутай. Это демократический и правильный запрет. Его поддерживать надо.
Продолжаем внимательно следить за совершенно бесполезными, но абсолютно прекрасными вещами.
https://www.youtube.com/watch?v=M6nZiRVzauM
Иногда ты хочешь сэкономить денег и собираешь свой пятипортовый коммутатор.
Иногда. Но не сегодня.
https://blog.brixit.nl/making-a-linux-managed-network-switch/
Не люблю я такие новости про “один товарищ слышал, как другой видел, что третий рассказал”, но как есть: в сети заметили обновлённый список паролей RockYou.
10 миллиардов учёток.
https://dailydarkweb.net/new-rockyou2024-password-list-allegedly-leaked-with-nearly-10-billion-passwords/
P.S. Говорят, там ещё и список всех возможных пин-кодов для кредиток есть.
Казалось бы, какая мелочь, всего-то скобочки адекватные добавить в питоняшную пробельно-фигурную лапшу и готово. Код можно читать без мигрени, сразу понятно, что происходит и нет ощущения, что макака билась лицом об клавиатуру.
А ведь просто не хватало адекватных скобок...
https://pypi.org/project/Bython/
От проектов странных к вещам понятным и полезным в хозяйстве: SSH over HTTPS. Особо великой науки в этом нет, просто пара ловких пассов руками на стороне клиента и сервера. Зато как только ты оказываешься в сети, где параноидально закрыто всё кроме 80/443 и 53, ты на коне.
P.S. Повесить SSH на 443 порт слишком просто. Нужно больше инкапсуляций!
https://trofi.github.io/posts/295-ssh-over-https.html
Прекрасный по всем пунктам девайс. И выглядит красиво и умеет всякое: Packet Monitor, WiFi Analyzer, Beacon Spam, Deauth Detector.
https://www.youtube.com/watch?v=bUvBjcczzcc
Мозги можно нахватить на гитхабе:
https://github.com/cifertech/ESP32-DIV
Мне иногда кажется, что каждый разработчик, узнавший про FUSE, обязан написать своё гениальное решение по загрузке линукса из самого неожиданного места.
Радует, что автор и сам не отрицает бредовость затеи, перечисляя массу возникающих проблем, но как piece of art очень даже.
https://ersei.net/en/blog/fuse-root
Невероятный удар под дых для всех диванных экспертов в опенсурсных лицензиях, которые точно знают кто, что, когда и кому должны раскрывать: МЦСТ объявили о раскрытии своих исходников, обеспечивающих работу с их платформой.
Фикус в том, что в мире настоящих юристов крайне сложно определить кто, что и кому должен, а в случае МЦСТ можно вообще на всё вешать амбарный замок, потому что разработка велась на государственные деньги. Но, видимо, они смогли как-то всё согласовать и разработка под Эльбрусы выйдет из теневой зоны.
https://dev.mcst.ru/
Сколько раз ни сталкивался с внутрянкой авиации, каждый раз там рай ретрограда и ад инноваторов. Всё, что связано с самолётами, это "работает - не трогай", возведённое в абсолют и обложенное миллионом валидных причин, почему в обозримом будущем никто и не будет ничего менять.
С другой стороны, оно реально работает и реально не трогай, потому что проверено поколениями до тебя. Статистически, самолёты как были, так и остаются самым безопасным видом транспорта. И вообще там свой отдельный интернет в интернете. Если интересно, попробуйте покопать, как устроены глобальные системы бронирования билетов, типа Amadeus, как аэропорты обмениваются между собой информацией о пассажирах и багаже и что вообще это за глобальный муравейник.
https://habr.com/ru/companies/ru_mts/articles/826464/
В принципе, тут можно ограничиться коротким "не люблю RADIUS". Ещё больше не люблю керберос, но тут нашли косяк в радиусе.
В MD5 хэше.
Кто вообще использует MD5 в 2024 году?
https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack/
Пятница это самое время поговорить про Open Compute Project.
Кто:
- Евгений Лагунцов, директор Центра компетенций, GAGAR>N
- Андрей Оноприенко, специалист по серверным платформам
О чем:
- Что такое OCP?
- История появления OCP
- Кто первый начал в мире и в РФ OCP
- Рынок OCP — кому это надо и кому это продают?
- Как OCP влияет на инфраструктуру ЦОДа?
- OCP и программное обеспечение
- Выводы — плюсы и минусы OCP
Ждём сегодня на стрим в 18:00 мск
https://linkmeup.ru/blog/2649/
youtube.com/video/VY5gmqPmJXs
Интересное следствие историй, про которые недавно рассказывал Павел Одинцов: RIPE NCC набирает людей в Charging scheme task force. Формально требований никаких нет и заявку может подать любой.
А как оно на самом деле, узнаем уже скоро, когда подача закроется.
https://www.ripe.net/participate/forms/apply/ripe-ncc-charging-scheme-task-force-2024/
Как добавить новую фичу в коммутатор, не превратив его в кирпич? Какой путь тестирования проходит новая функция в сетевом коммутаторе на пути от заявки до появления команды в CLI?
Кто:
- Антон Гузарев. Руководитель отдела разработки ПО в Yadro, разработчик сетевого коммутатора Kornfeld.
- Михаил Соколов. Технический директор НТЦ Метротек
Про что:
- Процесс разработки
- Работа над бета-функцональностью
- Соответствие функциональности стандартам
Когда: 16.07.2024 18:00
https://linkmeup.ru/blog/2647/
От 10 Мегабит до 800 Гигабит
Как весь такой неказистый и неудачный Ethernet выиграл гонку у других, более обещающих, конкурентов.
История из первых уст.
I told Mark about my idea of using store-and-forward switching to increase LAN performance.
Mark designed the hardware and timing-sensitive low-level code, while software engineer Bob Shelly wrote the remaining programs. And in 1986, DEC introduced the technology as the LANBridge 100, product code DEBET-AA.
https://spectrum.ieee.org/how-dec-engineers-saved-ethernet
А если вы не знаете, почему Ethernet не самая красивая технология, что такое Carrier Sense Mutiple Access with Collision Detection и откуда ограничение на минимальный размер кадра, отправлю вас к своей очень старой статье Каверзные сетевые вопросы
Тут, видимо, опять где-то что-то случилось, но спустя жалкие 41 год после релиза в тот самый виндовый Notepad добавили спелчекинг и автокорректора.
Самое смешное, что в сети есть масса недовольных. Говорят, испортили чистый и незамутнённый text editor, чтобы сделать из него очередной word processor.
https://blogs.windows.com/windows-insider/2024/03/21/spellcheck-in-notepad-begins-rolling-out-to-windows-insiders/
Товарищ с явно прямыми руками отжал себе двухтонного робота-сварщика с вагоностроительного завода, отмыл его, почистил, залил мозги и теперь у него в гараже милый рукастый ЧПУ станок.
Вытворяет он с ним всякое, можно на канале ознакомиться. Например, сделал себе копию Delorean.
https://www.youtube.com/watch?v=vXDUZpdSU_A
Готовый мануал, со ссылочками, на различные наборы юного железячника. Прям вот самый базовый набор для человека, который хочет разобраться в том, как работает железо.
https://voidstarsec.com/hw-hacking-lab/vss-lab-guide
Во времена двухтонки MS реализовали так называемое неограниченное (или бесконечное) делегирование для Kerberos. Хорошая и удобная штука, но если не выставить принудительно ей рамки и не запретить делегирование админов, может случится описываемый в статье ой.
https://www.hub.trimarcsecurity.com/post/active-directory-security-risk-101-kerberos-unconstrained-delegation-or-how-compromise-of-a-singl
Отчаянные времена требуют отчаянных мер: Cloudflare вводит новый фильтр, отсекающий AI-ботов.
Боты устраивают фейсконтроль других ботов. Кажется, в истории есть много примеров, когда после таких чисток начинались войны.
https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click/
За некоторыми кусками кода стоят очень интересные истории. Вот, например, какие эмоции у вас вызовет этот кусочек исходников sqlite?
https://github.com/sqlite/sqlite/blob/f1bf103e4e6a7735d05b902554a73909d22ca123/src/os.h#L65-L75
Очередная история успеха, делающая больно: парень решил за месяц глубоко вникнуть в QUIC и написать свою реализацию. И, что интересно, этот подлец реально месяц в него вникал и теперь хвастается достигнутыми результатами.
Менять что-то в своей жизни после таких примеров мы конечно же не будем.
https://www.meetecho.com/blog/quic-journey/
Недавно мы проводили подкаст «Дичь и красота шоу-бизнеса», в котором Виктор Шопин делился внутренним устройством сетей концертов, театров и других объектов культуры, досуга и спорта.
А 29 июля - 2 августа его команда PRAKTIKUM.SCHOOL проводит Летнюю школу Шоу-технологий в Туле. В течение 2 бесплатных дней будет показана масса оборудования, о котором говорилось в эфире, а на докладах будут рассказывать про насущные технические и кадровые темы.
Собственно, свои вопросы по DANTE и другим технологиям, а также о ближайшем будущем и работе в индустрии, смело нести туда.
Стендов с реальным оборудованием и общения будет много. Регистрация бесплатная, все кнопки здесь: https://leto.praktikum.school
Из OVHcloud рапортовали, что словили рекордный DDoS на 840Mpps в юном месяце апреле. Словили, поресёрчили трафик и, прям готовьте золотой фонд шуток, - a great part of these IPs are known as MikroTik Routers. Зис айпи, как несложно догадаться, это те, с которых к них трафло летело. Ну и судя по всему, это не только девайсы, торчащие голым портом в сеть, но и вполне себе из внутреннего периметра компаний.
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/
P.S. we reached out to MikroTik through several communication channels to expose them the situation, but had no feedback so far.
