👨‍💻 Доступная виртуализация: Proxmox.

• Когда потребности перерастают один, ответственный за все, железный сервер, но еще не настолько велики, чтобы использовать Kubernetes, на помощь приходят разные решения, позволяющие управлять кластером из нескольких хостов, организовать High Availability, репликацию и централизованный бэкап контейнеров и виртуалок. Proxmox — одно из них:

• Разворачиваем Linstor хранилище ч.1;
• Разворачиваем Linstor хранилище ч.2;
• Разворачиваем Linstor хранилище ч.3;
• Proxmox VE - обновляем 6ку на 7ку (Proxmox 6 to 7 upgrade);
• Proxmox: бекапы и факапы (и ресторы);
• Proxmox + NFS сервер - внешнее хранилище для iso и дисков;
• Proxmox API - автоматизируем рутинную операцию;
• Proxmox + Kerio Control - удобные песочницы;
• Proxmox + Kerio Control - удобные песочницы;
• Вводная;
• Урок 1 - вебинар, инсталляция;
• Урок 2.1 - Обновления;
• Урок 2.2 - Контейнеры;
• Урок 2.3 - Виртуальные машины;
• Урок 2.4 - Настройки в машинах и контейнерах;
• Урок 2.5 - Снапшоты;
• Урок 2.6 - Бекапы;
• Урок 2.7 - Пользователи и права;
• Урок 2.8 - Сети;
• Урок 2.9 - Внешнее хранилище;
• Урок 2.10 - SSL сертификаты;
• Урок 3.1 - Кластер: вводная;
• Урок 3.1.2 - Кластер: подготовка нод;
• Урок 3.2.1 - Кластер: добавление нод;
• Урок 3.2.2 - Кластер: безопасность нод;
• Урок 3.3 - Кластер: реплики нод;
• Урок 3.4 - Кластер: HA;
• Урок 4.1 - time drift;
• Урок 4.2 - LB Proxy;
• Урок 4.3 - LVM;
• Урок 4.4 - Кеш;
• Бекапим в облака.

#Proxmox

👩‍💻 The SELinux Notebook.

• Держите бесплатную книгу по SELinux, цель которой — стать самой актуальной и всеобъемлющей книгой охватывающей компоненты ядра Linux, библиотеки, инструменты, политики и т.д.

• Abbreviations and Terminology;
• SELinux Overview;
• Core Components;
• Mandatory Access Control (MAC);
• SELinux Users;
• Role-Based Access Control (RBAC);
• Type Enforcement (TE);
• Security Context;
• Subjects;
• Objects;
• Computing Security Contexts;
• Computing Access Decisions;
• Domain and Object Transitions;
• Multi-Level and Multi-Category Security;
• Types of SELinux Policy;
• Permissive and Enforcing Modes;
• Auditing Events;
• Polyinstantiation Support;
• PAM Login Process;
• Linux Security Module and SELinux;
• Userspace Libraries;
• Networking Support;
• Virtual Machine Support;
• X-Windows Support;
• SE-PostgreSQL Support;
• Apache-Plus Support;
• SELinux Configuration Files;
• SELinux Policy Languages;
• The Reference Policy;
• Hardening SELinux;
• Implementing SELinux-aware Applications;
• Embedded Systems;
• SE for Android;
• Appendix A - Object Classes and Permissions;
• Appendix B - libselinux API Summary;
• Appendix C - SELinux Commands;
• Appendix D - Debugging Policy - Hints and Tips;
• Appendix E - Policy Validation Example.

➡️ Скачать в PDF можно отсюда.

#SELinux

📚100-Year QA-Textbook.

• «100-Year QA-Textbook - русская версия» — интерактивный учебник, включающий 42 модуля, 42 набора онлайн-тестов, более 700 страниц базовых знаний, посвященных тест-дизайну, работе с требованиями, документированию, тестированию на всех уровнях и локализации дефектов в трехзвенной архитектуре, базам данных, Linux, сетям, методологиям разработки и другим полезным темам.

• Учебник интерактивный, потому что в нём есть не только теория в текстовом и графическом виде, но и онлайн-тесты, которые необходимо пройти, чтобы проверить уровень своих знаний.

➡️ https://mentorpiece.org/100/

• P.S. на хабре есть подробное описание этого учебника: https://habr.com/ru/articles/762532/

#QA

💻 PostgreSQL. Учебные курсы.

Курсы для администраторов:
• DBA1. Администрирование PostgreSQL. Базовый курс;
• DBA2. Администрирование PostgreSQL. Настройка и мониторинг;
• DBA3. Администрирование PostgreSQL. Резервное копирование и репликация;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.

Курсы для разработчиков приложений:
• DEV1. Разработка серверной части приложений PostgreSQL. Базовый курс;
• DEV2. Разработка серверной части приложений PostgreSQL. Расширенный курс;
• QPT. Оптимизация запросов;
• PGPRO. Возможности Postgres Pro Enterprise.

Курс для разработчиков СУБД:
• Hacking PostgreSQL.

#PostgreSQL #Курс

🐱 Акустический кот.

• Помните пост про разработку прослушивающего устройства в виде стрекозы от ЦРУ? В начале 2000-х годов в американской прессе случился громкий скандал. Тогда был рассекречен старый проект ЦРУ под названием «Acoustic Kitty», ужаснувший зоозащитников и не только.

• В общем и целом, инженерам ЦРУ пришла в идея оборудовать кота подслушивающими устройствами для проникновения в советские посольства и на другие объекты. Но кот, как известно, гуляет сам по себе, и дрессировке поддаётся слабо. Чтобы это исправить, прибегли к хирургии. Ветеринары имплантировали в ушной канал кота микрофон, вживляли под кожу груди передатчик длиной 3/4 дюйма и специальные батарейки, а вдоль позвоночника до хвоста шла спрятанная в шерсти антенна из проволоки для приёма и передачи сигналов.

• Правда, даже получившиеся киборги, очухавшись после операции, вовсе не стремились идти туда, куда требовалось ЦРУ. Коты упорно отвлекались на всё, на что и полагается отвлекаться котам. Чтобы это подавить, прибегли к ещё более суровой киборгизации, и попытались воздействовать хирургическим путём для отключения ряда «лишних» импульсов. Например, желания есть. Управляться такой кот должен был специальными ультразвуковыми сигналами, требовавшими от него идти прямо, останавливаться или поворачивать влево-вправо.

• На всё это потребовалось 5 лет работы и около 20-ти миллионов долларов. Наконец, в 1967 году пошли на первый эксперимент «в поле»: кот должен был дойти до лавочки близ советского посольства и прослушать беседу двух человек. Когда несчастное животное выпустили из фургона ЦРУ, оно испугалось звуков города, кинулось через дорогу и немедленно было сбито машиной. Epic fail. Котофею R.I.P. Ну а инженеры с руководством отложили в фургоне тонну кирпичей, представив, как они сейчас поедут докладывать высшему начальству о «блестящих результатах эксперимента».

• Естественно, когда всё это опубликовали в начале нулевых, поднялся дикий скандал. Бывший директор Управления технической службы Роберт Уоллес был вынужден объявить прессе, что бедный котик совсем не погиб, из него изъяли все непредусмотренные природой устройства и жил он дальше долго и счастливо — но ему, конечно, никто не поверил.

• ЦРУ почесали головы, подсчитали расходы, прослезились и переключились на проект с голубями-шпионами. Впрочем, в птиц, на их счастье, уже ничего не вживляли, но это совсем другая история...

#Разное

⚠️ За 2024 год число кибератак на российские компании выросло в 2,5 раза. Доля заказных кибератак на российские компании за год выросла с 10% до 44%.

Что делать? — Стать востребованным специалистом!

Запишитесь на курс для BlueTeam от Академии Кодебай. Оставьте заявку на сайте — начинаем 3 марта! 

Что вы освоите?
🔸 Сбор дампов памяти с Linux и Windows
🔸 Анализ журналов безопасности и артефактов ВПО
🔸 Реагирование на основе данных из SIEM
🔸 Анализ вредоносных программ
🔸 Threat Intelligence & Threat Hunting

⭐️ Сертификат / удостоверение о повышении квалификации

Научитесь реагировать на сетевые вторжения! Пишите 🚀 @Codeby_Academy

👩‍💻 Attacking Azure.

• Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье:

- Security Control;
- Execute Command on Virtual Machine using Custom Script Extension;
- Execute Commands on Virtual Machine using Run Command;
- Export Disk Through SAS URL;
- Password Hash Sync Abuse;
- Pass the PRT;
- Application proxy abuse;
- Command execution on a VM;
- Abusing dynamic groups;
- Illicit Consent Grant phishing;
- Add credentials to enterprise applications;
- Arm Templates and Deployment History;
- Hybrid identity - Seamless SSO;
- References.

#Azure #devsecops

🌩 Проблема: Wi-Fi работает только во время дождя.

• С такой странной проблемой столкнулся один разработчик, когда приехал домой к родителям. Сначала он не верил, но потом убедился сам: как только дождь заканчивался, 98% пакетов любого сайта терялось. Пришлось сильно повозиться, чтобы понять причину:

➡️ https://habr.com/ru/post/806175/

#Разное

👩‍💻 Траблшутинг Linux. Основные команды, примеры.

• Основные команды для быстрого поиска проблем (траблшутинга) сервера или виртуальной машины на Linux (Ubuntu, Debian, CentOS, Astra). Как диагностировать проблемы с дисками, процессами, оперативной памятью, сетью. Как смотреть логи в Linux.

- Мониторинг;
- Место на дисках;
- Состояние дисков;
- Нагрузка на диски;
- Процессор;
- Оперативная память;
- Процессы;
- Сеть;
- Логи.

#Linux

🎨 Цветной терминал.

• Когда терминалы были физическими устройствами, возможность использования разных цветов была ограничена на уровне устройства. Меньшее количество цветов в терминале означало более дешевое устройство, а, значит, более массовое (больше продаж — больше прибыль; вообще это не всегда так, но в данном случае это работало).

• Сначала были монохромные терминалы (два цвета — для текста и для фона). Потом появился трехбитный цвет: пользователю терминала стали доступны 8 разных цветов. Именно тогда из ограничения в 3 бита родилась знаменитая восьмерка названий цветов, ставшая «родной» для терминалов:

000 #000000 black черный
001 #0000ff blue синий
010 #00ff00 green зеленый
011 #00ffff cyan голубой
100 #ff0000 red красный
101 #ff00ff magenta пурпурный (лиловый и т.д.)
110 #ffff00 yellow желтый
111 #ffffff white белый

• Во второй редакции стандарта «ECMA-48» от 1979 года (первая редакция — от 1976 года, но я не смог найти ее в интернете) за этими названиями цветов уже закреплены соответствующие управляющие последовательности (коды). (Действующая редакция этого стандарта — пятая, от 1991 года.) В редакции от 1979 года есть еще управляющий код, с помощью которого можно было выделять текст. В разных терминалах это делалось по-разному: увеличением толщины (насыщенности) шрифта или увеличением яркости цвета. Таким образом из 8 имеющихся цветов выжимали 16 разных вариантов для текста (для фона использовали 8 базовых цветов):

black | bright (bold) black
blue | bright (bold) blue
green | bright (bold) green
cyan | bright (bold) cyan
red | bright (bold) red
magenta | bright (bold) magenta
yellow | bright (bold) yellow
white | bright (bold) white

• Эти 16 названий цветов часто называют «цветами ANSI», хотя в соответствующем стандарте «ANSI X3.64» эти названия появились позже, чем в «ECMA-48», в 1980-е (сейчас стандарт «ANSI X3.64» не действует).

• Следует отметить, что в упомянутых стандартах указаны только названия цветов, а не точные значения. Разные производители терминалов использовали для этих названий разные значения цветов. Поэтому цвет с одним и тем же названием мог выглядеть очень по-разному на терминалах разных производителей. Из этого в современных эмуляторах терминалов родились цветовые схемы с ограниченной палитрой из 8, 16 или более цветов.

#Разное

👨‍💻 Вопросы по DevOps.

• В этой объемной статье, которая рассчитана на 75 минут чтения, рассматриваются такие вещи, как сеть, HTTP, операционная система, виртуализация, хранилище etc., а также несколько технологий, используемых в сфере DevOps, таких как Prometheus, OpenStack, Puppet, Elastic etc. Материал будет очень полезен для прохождения собеседований.

- Сеть;
- HTTP;
- Операционная система;
- Виртуализация;
- Хранилище;
- Распределенные системы;
- Системный дизайн;
- Аппаратное обеспечение;
- Большие данные;
- Разное;
- Go;
- SQL;
- MongoDB;
- Prometheus;
- OpenStack;
- Puppet;
- Elastic;
- Packer.

#DevOps #SysOps

🤖 Нестандартные варианты использования Raspberry Pi. Второй разъём HDMI для ноутбука.

• На некоторых недорогих моделях ноутбуков бывает только один разъём HDMI, а DisplayPort отсутствует, не говоря уже о втором HDMI или хотя бы VGA. В общем, к такому ноутбуку никак не подключить два внешних монитора в привычной рабочей конфигурации, а только один.

• Французский разработчик Pierre Couy не хотел мириться с таким неудобством и придумал интересный хак: второй виртуальный HDMI через Raspberry Pi.

• Если подключить второй монитор по HDMI к «малинке», то есть несколько вариантов, как передать картинку на ноутбук. Сначала автор выбрал самый логичный способ по Ethernet с использованием медиаплееров типа VNC, Steam Remote Play и всяких VNC-оболочек, разработанных для этой цели. Но его не удовлетворяло общее качество видео: фреймрейт, скорость сети, нагрузка на CPU, обязательный запуск десктопной сессии на стареньком RPi 3.

• Поэтому он решил оптимизировать установку — и вместо готового видеоплеера использовать для трансляции видео по сети утилиту командной строки ffmpeg.

• Этот универсальный инструмент берёт на себя захват видео, транскодирование, инкапсуляцию в сетевой трафик, передачу по сети, обеспечивая тонкий контроль над каждым шагом. На стороне приёма можно выбрать любой из ffmpeg-совместимых плееров c поддержкой Direct Rendering Manager, включая mpv, vlc и ffplay.

• В итоге у автора получается «виртуальный HDMI» для подключения второго монитора. Вообще, по такому алгоритму с помощью ffmpeg и RPi можно подключить практически любое видеоустройство по сети. Столько интересных знаний получено благодаря тому, что не хватило денег на нормальный ноутбук!

➡️ Подробное описание схемы с картинками: https://pierre-couy.dev/

➡️ Видео: https://youtu.be/Q_opC1bHSuY

#Raspberry #Разное

📦 Прохождение Linux-машины INTENTIONS. HTB, сложного уровня.

• Автор проходит Intentions.htb — это сложная машина на #Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt.

• Дальнейшее расследование раскрывает наличие API v2, которое позволяет реализовать аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту. В панели администратора атакующий найдет страницу, которая позволяет ему редактировать изображения в галерее с помощью Imagick.

• Атакующий способен использовать создание экземпляра объекта Imagick и получить выполнение кода. Как только атакующий получает шелл как www-data, ему необходимо изучить историю #Git для текущего проекта, где он найдет учетные данные пользователя greg. После входа в систему как greg, атакующий обнаружит, что у него есть доступ к бинарному файлу /opt/scanner/scanner с расширенными возможностями, в частности, CAP_DAC_READ_SEARCH. Эта возможность позволяет атакующему извлекать конфиденциальные файлы, такие как ключ #SSH пользователя root, по байтам. Имея ключ, атакующий может аутентифицироваться через SSH как пользователь root.

➡️ https://youtu.be/vBC65np3854

#Пентест #CTF