[Перевод] Intel предупреждает пользователей о «неисправности» патчей Spectre-Meltdown

9 месяцев 3 недели ago


Не устанавливайте патчи от Intel для исправления уязвимостей Spectre в Linux-системах.
Intel в понедельник предупредила о том, что следует прекратить установку текущих версий патчей для Spectre (CVE-2017-5715), которые Линус Торвальдс отметил комментарием «абсолютнейший мусор».

Spectre (проверка обхода границ массива CVE-2017-5753, инъекция целевой ветви CVE-2017-5715) и Meltdown (CVE-2017-5754 — «расплавляет» разграничение доступа к страницам памяти, лечится KPTI-патчем) представляют собой уязвимости, обнаруженные исследователями в начале этого месяца во многих процессорах Intel, ARM и AMD, используемых в современных ПК, серверах и смартфонах. Они могут позволить злоумышленникам украсть ваши пароли, ключи шифрования и другую личную информацию.

С прошлой недели пользователи начали сообщать, что после установки пакета обновлений безопасности, выпущенного Intel, они столкнулись с проблемами, которых не было ранее. Например, спонтанные перезагрузки и другое «непредсказуемое» поведение системы. Читать дальше →
Cloud4Y

Лабораторная работа: введение в Docker с нуля. Ваш первый микросервис

9 месяцев 3 недели ago
Привет, хабрапользователь! Сегодня я попробую представить тебе очередную статью о докере. Зачем я это делаю, если таких статей уже множество? Ответов здесь несколько. Во-первых не все они описывают то, что мне самому бы очень пригодилось в самом начале моего пути изучения докера. Во-вторых хотелось бы дать людям к теории немного практики прямо по этой теории. Одна из немаловажных причин — уложить весь накопленный за этот недолгий период изучения докера опыт (я работаю с ним чуть более полугода) в какой-то сформированный формат, до конца разложив для себя все по-полочкам. Ну и в конце-концов излить душу, описывая некоторые грабли на которые я уже наступил (дать советы о них) и вилы, решение которых в докере просто не предусмотрено из коробки и о проблемах которых стоило бы задуматься на этапе когда вас распирает от острого желания перевести весь мир вокруг себя в контейнеры до осознавания что не для всех вещей эта технология годна.

Что мы будем рассматривать в данной статье?

В Части 0 (теоретической) я расскажу вам о контейнерах, что это и с чем едят
В Частях 1-5 будет теория и практическое задание, где мы напишем микросервис на python, работающий с очередью rabbitmq.
В Части 6 — послесловие
Читать дальше →
bykvaadm

Защита от DDoS на уровне веб-сервера

9 месяцев 4 недели ago
Статистика DDoS-атак показывает неизменный рост и смещение вектора с сетевого уровня на уровень приложений.

image

Если у Вас есть небольшой сайт на сервере с минимальными характеристиками, то положить его можно любым вполне легальным средством стресс-тестирования. (Не рекомендую этого никому делать т.к. IP-адрес легко вычисляется и экспериментатор может влететь на возмещение ущерба.) Поэтому сайт без защиты от DDoS очень скоро будет выглядеть так же дико, как компьютер с Windows-98 без анивирусника.
Читать дальше →
apapacy

Маршрутизация в socks. Еще один способ

9 месяцев 4 недели ago
Рассмотрим еще один способ маршрутизации локальной сети через «socks-прокси». В отличии от предыдущего способа с «redsocks», в этом, будет рассмотрена возможность маршрутизации на сетевом уровне (сетевой модели OSI), по средствам пакета «badvpn-tun2socks». Данная статья ориентирована на создание и постоянное использование такого маршрутизатора на базе ОС «Debian stretch».

Прежде чем перейти к описанию настройки системы, предоставлю ссылку на бинарники badvpn (может кому-то понадобится).

Итак, после скачивания и распаковки пакета, предлагаю сразу создать сервис systemd со следующим содержанием:

cat /etc/systemd/system/tun2socks.service [Unit] Description=Start tun2socks [Service] ExecStart=/путь/к/badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:1080 [Install] WantedBy=multi-user.target
Здесь, в параметре запуска "--socks-server-addr 127.0.0.1:1080" видно, что «tun2socks» будет направлять запросы по адресу socks-прокси сервера. (К примеру, ssh-tunnel из предыдущего способа).

Параметры "--netif-ipaddr 10.0.0.2" и "--netif-netmask 255.255.255.0", отвечают за создание «маршрутизатора tun2socks» с адресом 10.0.0.2, на который будут приходить запросы с виртуального интерфейса, указанного в параметре "--tundev tun0".
Для понимания, приведу скромную схему:

+----------+ +-----------+ +----------------+ +------------+ | tun0 |____| tun2socks |___| socks |______| ssh-server | | 10.0.0.1 | | 10.0.0.2 | | 127.0.0.1:1080 | | *pubic ip* | +----------+ +-----------+ +----------------+ +------------+ | +----------+ +-----------+ +----------------+ | NAT |____| dhcpd/ |___| LAN | | iptables | | wlp6s0 | | 192.168.1.0/24 | +----------+ +-----------+ +----------------+
"tun0" это виртуальный интерфейс, который необходимо настроить в системе, на него будут приходить запросы из локальной сети\хоста. Сделаем это стандартным для Debian способом:
Читать дальше →
cybran24

[Из песочницы] Как я писал telegram-бота и заливал его на удаленный сервер

9 месяцев 4 недели ago
Вступление
Как только на территории РФ вступил в силу запрет на анонимность в мессенджерах, у меня дошли руки написать пост про telegram-бота. По ходу создания бота столкнулся с большим количеством проблем, которые пришлось решать по отдельности, и буквально выцеживать крупинки информации со всего интернета. И вот после нескольких месяцев страданий и мучений (кодинг – не основное моё занятие) я наконец-то закончил с ботом, разобрался со всеми проблемами и готов поведать свою историю Вам.


Читать дальше →
Richer_17

blk-mq и планировщики ввода-вывода

10 месяцев ago


В сфере устройств хранения данных за последние годы произошли серьёзные изменения: внедряются новые технологии, растут объём и скорость работы дисков. При этом складывается следующая ситуация, в которой узким местом становится не устройство, а программное обеспечение. Механизмы ядра Linux для работы с дисковой подсистемой совершенно не приспособлены к новым, быстрым блочным устройствам.
Читать дальше →
alexey_zz

Single Sign-On, или Танцы Шестерых

10 месяцев ago



Эта статеечка изначально писалась как памятка для себя, но по настойчивым просьбам коллег я всё-таки через полтора года собрался с духом и публикую её.


Материал прозаичен, но может оказаться кому-нибудь полезным, чему я буду очень рад. Ещё больше буду признателен конструктивным советам и отзывам.


Итак, наша тема – «Как реализовать Single Sign-On для веб-приложения в условиях разношёрстности и нормальной лохматости системного зоопарка».

Читать дальше →
Greyder

Реализация асинхронной защищенной системы связи на основе TCP сокетов и центрального OpenVPN сервера

10 месяцев ago
В этой статье я хочу рассказать, о моей реализации мессенджера с двойным шифрованием сообщений на основе tcp сокетов, OpenVPN сервера, PowerDNS сервера.
Суть задачи — обеспечить обмен сообщениями через интернет минуя NAT между клиентами на различных платформах (IOS, Android, Windows, Linux). Также необходимо обеспечить безопасность передаваемых данных.
Читать дальше →
imperituroard

[Перевод] Первое знакомство с командой ss

10 месяцев ago
В Linux есть программы, которые пригодятся программистам, специалистам по информационной безопасности, администраторам… короче говоря, каждый найдёт здесь то, что ему нужно.

Инструмент командной строки netstat был одним из тех средств, которыми часто пользовались системные администраторы. Однако команда netstat была признана устаревшей и на смену ей пришла более быстрая и удобная в использовании команда ss.



Сегодня мы поговорим о том, как применять ss для того, чтобы узнавать о том, что происходит с сетью на компьютере, работающем под управлением Linux.
Читать дальше →
ru_vds

[Перевод] Изучаем команду wget на 12 примерах

10 месяцев ago
Все мы иногда качаем файлы из интернета. Если для этого использовать программы с графическим интерфейсом, то всё оказывается предельно просто. Однако, при работе в командной строке Linux дело несколько усложняется. Особенно — для тех, кто не знаком с подходящими инструментами. Один из таких инструментов — чрезвычайно мощная утилита wget, которая подходит для выполнения всех видов загрузок. Предлагаем вашему вниманию двенадцать примеров, разобрав которые, можно освоить основные возможности wget.


Читать дальше →
ru_vds

О том, как я переизобретал медиацентр

10 месяцев ago

Raspberry Pi 3 model B


С приобретением нового телевизора возник вопрос, какую приставку для него брать. Возможностей Chromecast уже не хватало и хотелось полноценный медиацентр на Kodi. Телевизор со SmartTV покупать не вариант — Kodi можно установить только на Android (из SmartTV платформ), а к нему я отношусь без особой любви, к тому же он уже внутри телевизора, а не в отдельной коробке, которую можно безбоязненно перепрошивать. Ну а зачем мне полноразмерный Android, со всеми его сервисами и программами в виртуальной машине, без полноценного GNU/Linux окружения и, скорее всего, без обновлений? По той же причине также были отметены многочисленные готовые медиацентры на Android, хотя та же приставка от Xiaomi довольно хороша. Можно было бы подумать насчёт SmartTV на TizenOS, но для него нет Kodi.

Читать дальше →
modos189

[Из песочницы] Что делать, когда малое предприятие всерьез задумалось о переходе с Windows на Linux

10 месяцев 1 неделя ago
Предисловие. Надеюсь мой рассказ поможет начинающим или нерешительным юзерам быстро и без проволочек перейти на Линукс с Винды, не удаляя Windows.

Начало. Волей судьбы я являюсь системным администратором эникейщиком малого предприятия (менее 10 машин) в сфере услуг. Руководство уже не первый год задумывалось о переходе на Linux, однако первые эксперименты (выбирали Fedora), нельзя было назвать полностью успешными, не нравился интерфейс, работа с программами и оборудованием. В будущем конечно мы поняли свою ошибку: всего лишь выбрали неудачный интерфейс и установили минимальный набор драйверов, не вникая в детали.

Однако руководство хоть и опечалилось, однако, не унывало и после очередной беседы с хорошим программистом на Python (максимальный респект ему), озадачило меня, не знакомого особо с Линукс, попробовать установить на всех рабочих машинах Линукс Минт с интерфейсом
Mate (linuxmint-18.1-mate-64bit если быть точным) параллельно с Windows. Данный вариант нам показался наиболее похожим под привычный Win интерфейс, версия ОС была последней на тот момент.
Читать дальше →
lmfix

[Из песочницы] Маршрутизация локальной сети через прозрачный socks-прокси

10 месяцев 3 недели ago
Потребовалось пустить трафик со всех домашних устройств, включая смартфоны, через ssh tunnel.

Имелось:

  • маршрутизатор TP-LINK, подключенный к провайдеру.
  • смартфоны и ноутбук подключенные к беспроводной точки доступа маршрутизатора.

Ноутбук находился далеко от маршрутизатора (в другой комнате) и регулярно использовался, поэтому пришлось искать решение маршрутизации трафика с помощью встроенного беспроводного интерфейса (и без всяких там eth0).

Инструментарий:

openssh-client — стандартный ssh клиент для linux.
autossh — позволяет проверять соединение с ssh сервером, и подключаться при разрыве.
redsocks — прозрачный socks-прокси сервер.
isc-dhcp-server — dhcp сервер.
iptables — думаю, комментарии излишне.

Итак, приступим. Первым делом поднимем DHCP сервер на беспроводном интерфейсе ноутбука.

Установка:

apt install isc-dhcp-server
Настроим нужный интерфейс:

nano /etc/network/interfaces
# Назначаем статический IP адрес для DHCP сервера на wlan0: auto wlan0 iface wlan0 inet static address 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.1
Узнать название необходимого интерфейса можно командой:

ip a
Назначим DNS:

nano /etc/resolv.conf
# Публичные DNS сереверы Google: nameserver 8.8.8.8 nameserver 8.8.4.4 # (или DNS серверы провайдера)
Читать дальше →
old2young

Включаем поддержку TLS v1.3 в Nginx на примере Debian 9

10 месяцев 3 недели ago
Всем доброго времени суток!

Данный пост написан вследствие победы желания докопаться до сути над усталостью, сонливостью, соблазном опрокинуть очередную бутылочку пива пятничным вечером. Сразу скажу, что ничего супер сложного не раскрываю, всего лишь включение TLS v1.3 в Nginx.

image
Наверняка на Хабре найдутся те, кто уже 100 раз это делал, поэтому данная статья — больше для новичков или для тех, кто хочет найти готовое решение в виде мануала, не тратя много времени на поиски, как я, например. Вспомнив, что давно не писал на Хабре и поставив статье метку «tutorial», принялся за дело.
Читать далее
pashaxp

[recovery mode] Организация музыкального сопровождения торгового зала

10 месяцев 4 недели ago
Добрый день, вечер или ночь, все зависит от времени суток в который вам довелось прочитать мою статью.

В связи с открытием торгового зала была поставлена задача, организовать фоновую музыку в торговом зале, а именно:

— Трансляция из главного офиса подготовленного музыкального сопровождения;
— Управление только из центрального офиса, без доступа сотрудников торгового зала;
— Периодическое воспроизведение рекламы(необходима ежедневная смена рекламных роликов;
— Работа только в часы работы торгового зала;
— Без покупки дополнительного оборудования и ПО.

Что мы имеем:

— Контейнер LXC Ubuntu Server 16.04 (Память 1Gb, HDD 32 Gb);
— VPN сеть с торговым залом;
— Старый компьютер (Celeron 800, Память 256 Mb, WinXP):
— Подготовлена аудиосистема торгового зала с усилителем (в аренде).

За основы были взяты статьи:

Интернет-радио своими руками;
Управление радиоэфиром через браузер;
Интернет-радио с множеством ведущих из разных городов и звонками в прямом эфире;
Интернет-радиостанция на Liquidsoap + IceCast.
Читать дальше →
Teon_501

Быстрая и безопасная ОС для web-серфинга с неприступным носителем, легко изменяемым пользователем

10 месяцев 4 недели ago

(Источник)

ОСы с неприступным носителем, т.е. с носителем, информацию на котором физически невозможно изменить, давно и широко известны — это так называемые “live CD” — точнее было бы называть их “live DVD”, т.к. iso-образы многих современных ОС для CD ROM слишком большие. Встречаются iso-образы, которые и на DVD ROM не влезут, но и это не проблема, т.к. файл iso-образа можно использовать и с жесткого диска, например, для установки ОС в виртуальную машину. Но это уже другой случай, а первоначальная идея была прожечь iso-образ на болванке CD или DVD ROM. С такой болванки можно загружать компьютер, и при этом никакие зловреды этому диску не страшны, т.к. он ROM. При этом для полного исключения заражения жестких дисков их вообще можно убрать. Это легко сделать, если HDD внешние, или если они съемные — установлены в Mobile Rack. Однако практическому использованию схемы “только один RO диск” мешают два серьезных неудобства: медленная загрузка (по сравнению с HDD) и невозможность изменять настройки, сохранять историю посещений сайтов, закладки и т.д. Эти неудобства преодолимы, во всяком случае, для простейшего web-серфинга.
Читать дальше →
third112

Нехватка оперативной памяти в Linux на рабочем ПК: оптимизация и действия при зависании

11 месяцев ago
На любой операционной системе часто не хватает оперативной памяти. Рассмотрим, как и сэкономить на увеличении аппаратных ресурсов машины с Linux, и продолжить более-менее комфортно пользоваться компьютером с Linux в условиях нехватки памяти.
Читать дальше →
specblog

FZF. Нечеткий поиск или как быстро ставить npm пакеты и убивать процессы

11 месяцев ago


Я работаю в MacOS, почти не использую Finder и все время провожу в консоли. Именно поэтому стараюсь сделать работу из консоли как можно более удобной.


Относительно недавно мне на глаза попалась утилита FZF. И уже через неделю стала незаменимой.


FZF представляет возможность нечеткого поиска в стиле UNIX: умеет быстро и относительно хорошо искать по строкам, которые передали ей на вход, и интегрироваться с другими моими любимыми программами.


Я с удивлением обнаружил, что об этой программе нет ни одной статьи на хабре, кроме некоторых упоминаний вскользь. Я решил восполнить этот пробел. Если вы уже знаете о FZF, то статья скорее всего покажется вам неинформативной, а всем остальным добро пожаловать

Читать дальше →
zolotyh

[recovery mode] Добавление специальных предложений для клиентов в почтовых сообщениях средствами Zentyal + Postfix + alterMIME

11 месяцев ago
Добрый день, вечер или ночь, все зависит от времени суток в который вам довелось прочитать мою статью.

Отделу продаж потребовалось в переписке с клиентами отправлять спец предложения по email без рутиной работы. В двух словах изложу, что и как получилось.

Исходные данные:
— почтовый сервер на базе Zentyal 5.0.1(postfix + dovecot + openDKIM и т.д.)
— alterMIME v0.3.10
— HTML шаблон с предложением.
Читать дальше →
Teon_501

F# на Linux как лекарство для души

11 месяцев 1 неделя ago

А у вас никогда не возникало ощущения, что «вот это» уже надоело? Что хочется чего-то нового? «Вот этим» может быть что угодно: игра, работа, машина. Что-то любое, что повторяется изо дня в день. А в программировании? Под катом вы найдете историю об усталости от C# и выборе более интересного подхода.


Читать дальше →
sahsAGU
Выбранный
2 часа 46 минут ago
habrahabr.ru/linux/
Подписаться на лента habrahabr.ru/linux/