(Не)безопасность систем мониторинга: NagiosXI

4 недели 1 день ago
image

Сейчас в компании любого размера зачастую используется та или иная система мониторинга, переодически то в одной, то в другой находят уязвимости (которые закрываются патчами) и слабости (на которые закрываются глаза). Сегодня мы поговорим о системе мониторинга NagiosXI и расскажем о способах ее эксплуатации в ходе пентеста. А также приведем мнение разработчиков относительно проблемы безопасности их продукта.
Читать дальше →
HD421

[Перевод] Учимся надежно управлять Kubernetes

4 недели 1 день ago

Недавно мы создали распределенную систему планирования cron-заданий на основе Kubernetes – захватывающей новой платформы для управления кластером контейнеров. Сейчас Kubernetes занимает лидирующие позиции и предлагает множество интересных решений. Одно из основных его достоинств – то, что инженерам не нужно знать, на каких машинах работают их приложения.
Распределенные системы по-настоящему сложны, и управление их службами – одна из самых больших проблем, с которыми сталкиваются операционные группы. Внедрить новое программное обеспечение в производство и научиться надежно управлять им – задача, к которой стоит относиться серьезно. Чтобы понять, почему обучение работе с Kubernetes важно (и почему это сложно!), мы предлагаем ознакомиться с фантастическим одночасовым переключением, вызванным ошибкой в Kubernetes.


В этой статье объясняется, почему мы решили построить архитектуру на Kubernetes. Мы расскажем, как проходила интеграция Kubernetes в существующую инфраструктуру, приведем подход к построению (и улучшению) доверия надежности кластера Kubernetes, а также рассмотрим абстракции, которые мы реализовали над Kubernetes.

Читать дальше →
olemskoi

Лабораторная работа: введение в Docker с нуля. Ваш первый микросервис

4 недели 2 дня ago
Привет, хабрапользователь! Сегодня я попробую представить тебе очередную статью о докере. Зачем я это делаю, если таких статей уже множество? Ответов здесь несколько. Во-первых не все они описывают то, что мне самому бы очень пригодилось в самом начале моего пути изучения докера. Во-вторых хотелось бы дать людям к теории немного практики прямо по этой теории. Одна из немаловажных причин — уложить весь накопленный за этот недолгий период изучения докера опыт (я работаю с ним чуть более полугода) в какой-то сформированный формат, до конца разложив для себя все по-полочкам. Ну и в конце-концов излить душу, описывая некоторые грабли на которые я уже наступил (дать советы о них) и вилы, решение которых в докере просто не предусмотрено из коробки и о проблемах которых стоило бы задуматься на этапе когда вас распирает от острого желания перевести весь мир вокруг себя в контейнеры до осознавания что не для всех вещей эта технология годна.

Что мы будем рассматривать в данной статье?

В Части 0 (теоретической) я расскажу вам о контейнерах, что это и с чем едят
В Частях 1-5 будет теория и практическое задание, где мы напишем микросервис на python, работающий с очередью rabbitmq.
В Части 6 — послесловие
Читать дальше →
bykvaadm

One-cloud — ОС уровня дата-центра в Одноклассниках

4 недели 2 дня ago


Алоха, пипл! Меня зовут Олег Анастасьев, я работаю в Одноклассниках в команде Платформы. А кроме меня, в Одноклассниках работает куча железа. У нас есть четыре ЦОДа, в них около 500 стоек более чем с 8 тысячами серверов. В определенный момент мы поняли, что внедрение новой системы управления позволит нам более эффективно загрузить технику, облегчить управление доступами, автоматизировать (пере)распределение вычислительных ресурсов, ускорить запуск новых сервисов, ускорить реакции на масштабные аварии.


Что же из этого получилось?

Читать дальше →
m0nstermind

cBackup — резервное копирование конфигураций сетевого оборудования

4 недели 2 дня ago
Лучше резервного копирования может быть только резервное копирование с контролем версий и проверкой целостности. Существует уйма программного обеспечения различного уровня платности под разные операционные системы для резервного копирования файлов, баз данных и образов, а также для управления конфигурациями серверов и ПО. А вот для работы с конфигурациями сетевого оборудования решений не так и много.



Мы создали приложение cBackup (от configuration backup) для работы с конфигурациями сетевого оборудования. Кроме непосредственно резервного копирования конфигов, можно отслеживать изменения между их версиями, что помогает локализовать источник проблемы при восстановлении после сбоев. cBackup — open source и распространяется бесплатно, включая отдельно скачиваемые шаблоны поддержки различных сетевых устройств.
Читать дальше →
Hesed

Маршрутизация в socks. Еще один способ

1 месяц ago
Рассмотрим еще один способ маршрутизации локальной сети через «socks-прокси». В отличии от предыдущего способа с «redsocks», в этом, будет рассмотрена возможность маршрутизации на сетевом уровне (сетевой модели OSI), по средствам пакета «badvpn-tun2socks». Данная статья ориентирована на создание и постоянное использование такого маршрутизатора на базе ОС «Debian stretch».

Прежде чем перейти к описанию настройки системы, предоставлю ссылку на бинарники badvpn (может кому-то понадобится).

Итак, после скачивания и распаковки пакета, предлагаю сразу создать сервис systemd со следующим содержанием:

cat /etc/systemd/system/tun2socks.service [Unit] Description=Start tun2socks After=network.target [Service] ExecStart=/путь/к/badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:1080 [Install] WantedBy=multi-user.target
Здесь, в параметре запуска "--socks-server-addr 127.0.0.1:1080" видно, что «tun2socks» будет направлять запросы по адресу socks-прокси сервера. (К примеру, ssh-tunnel из предыдущего способа).

Параметры "--netif-ipaddr 10.0.0.2" и "--netif-netmask 255.255.255.0", отвечают за создание «маршрутизатора tun2socks» с адресом 10.0.0.2, на который будут приходить запросы с виртуального интерфейса, указанного в параметре "--tundev tun0".
Для понимания, приведу скромную схему:

+----------+ +-----------+ +----------------+ +------------+ | tun0 |____| tun2socks |___| socks |______| ssh-server | | 10.0.0.1 | | 10.0.0.2 | | 127.0.0.1:1080 | | *pubic ip* | +----------+ +-----------+ +----------------+ +------------+ | +----------+ +-----------+ +----------------+ | NAT |____| dhcpd/ |___| LAN | | iptables | | wlp6s0 | | 192.168.1.0/24 | +----------+ +-----------+ +----------------+
"tun0" это виртуальный интерфейс, который необходимо настроить в системе, на него будут приходить запросы из локальной сети\хоста. Сделаем это стандартным для Debian способом:
Читать дальше →
old2young

Kubeflow: новый проект для работы с машинным обучением в Kubernetes

1 месяц ago
Разработчики Google объявили о запуске нового проекта Kubeflow. Проект упрощает работу с машинным обучением, предоставляя необходимый инструментарий для масштабирования и настройки системы в среде Kubernetes. В статье расскажем:

  • о компонентах Kubeflow;
  • как начать работу с решением;
  • о перспективах проекта.

Читать дальше →
it_man

VMware Dispatch: новый фреймворк для работы с serverless-приложениями

1 месяц ago
2017-й стал годом расцвета Kubernetes. Как отметили в RightScale, процент компаний, работающих с Kubernetes, за прошлый год увеличился с 7 до 14%. Kubernetes вошел в пятерку самых популярных DevOps-инструментов, которые «приняли на вооружение» в 2017 году, и стал вторым среди планируемых к внедрению.

Kubernetes стали чаще использовать средние и малые компании. Кроме того, фреймворк уже внедрили и крупные организации — Google, Red Hat, IBM, Microsoft и другие.

Одна из причин популярности платформы — богатый набор инструментов, разрабатываемых на её основе. Одним из таких релизов стал проект VMware Dispatch — фреймворк для создания и работы с serverless-приложениями. В этой статье рассмотрим новый продукт, а также расскажем о его особенностях и возможностях.

Читать дальше →
1cloud

[Перевод] Введение в современную сетевую балансировку и проксирование

1 месяц ago

Недавно я осознал нехватку вводных обучающих материалов о современной сетевой балансировке и проксировании. Я подумал: «Почему так? Балансировка нагрузки — одна из ключевых концепций для построения надёжных распределённых систем. Ведь должна быть доступна качественная информация об этом?» Я поискал и обнаружил, что информации мало. Статьи в Википедии о балансировке и прокси-серверах содержат обзоры некоторых концепций, но не могут похвастаться последовательным описанием предмета, особенно в том, что касается современных микросервисных архитектур. Поиск в Google информации о балансировке в основном возвращает сайты вендоров, заполненные модными терминами и скупые на подробности.


В этой статье я постараюсь восполнить нехватку постепенного введения в современную сетевую балансировку и проксирование. По правде сказать, это объёмная тема, достойная целой книги. И чтобы статья не получилась безразмерной, я постарался ряд сложных задач подать в виде простого обзора.

Читать дальше →
AloneCoder

Куда утекают данные: последствия грандиозного «слива» Equifax

1 месяц ago
2017 год запомнился серией серьезнейших утечек персональных данных пользователей. Два самых ярких события второй половины года — это обнародование информации о «сливе» огромной базы данных украденных паролей и атака на одно из трех главных кредитных бюро США — Equifax.

Организация не сообщала о краже данных более чем 140 млн. человек несколько месяцев. Ответственность Equifax за инцидент и молчание обсуждается до сих пор. Сейчас власти США лишь рекомендуют компаниям уведомлять клиентов об утечках.

Но уже скоро ситуация может поменяться — в январе в США был внесен законопроект, который устанавливает штрафы для компаний, допустивших утечки. Если бы он действовал на момент «слива», Equifax пришлось бы заплатить свыше $1,5 млрд.

Даже если такой закон будет одобрен, он не отменит того факта, что украденные данные уже попали в руки злоумышленников. В статье мы рассмотрим, как утекшие сведения используются против воли их владельцев и какие меры предпринимаются, чтобы снизить ущерб для пользователей.

Читать дальше →
1cloud

[recovery mode] Подключение телефонов Fanvil к 3CX через туннель L2TP на Mikrotik

1 месяц ago
Введение
В этой статье я опишу свой опыт подключения телефонов Fanvil X2, X3S, X4, X5S и X6 (новая линейка IP-телефонов Fanvil) к серверу 3CX через встроенный в прошивку телефонов VPN-туннель L2TP.

Прежде всего, объясню, для чего это нужно. Допустим, у вас есть удаленный сотрудник (или даже несколько) работающий из дома. Вы можете подключить его «домашний офис» по VPN, однако для этого необходимо поддержка VPN со стороны его домашнего роутера и настройка различных ограничений доступа к корпоративным ресурсам из домашней сети этого сотрудника. Вы также можете подключить телефон напрямую через RPS сервер, как описано в этом руководстве. Однако недостаток такого подхода в том, что вам придется открывать SIP-порт 5060 для всего мира. Хотя в 3CX весьма основательная система собственной безопасности, использовать такую конфигурацию следует с осторожностью. Вторая проблема — не все маршрутизаторы «позволяют» IP-телефонам корректно работать через NAT. Кроме того, вы не сможете оперативно подключаться к веб-интерфейсу IP-телефона (ведь он находится в домашней сети пользователя).

Хороший способ подключения удаленных пользователей реализует фирменная технология 3CX Tunnel в утилите 3CX SBC. Но в этом случае вам придется у пользователя устанавливать устройство типа Raspberry Pi или инсталлировать утилиту на ПК пользователя. Недостаток — связь будет только тогда, когда работает компьютер.

Подключение телефона по VPN туннелю L2TP устраняет почти все эти недостатки: Читать дальше →
snezhko

ЦОД без GeForce и Titan: в NVIDIA изменили лицензионное соглашение

1 месяц ago
Компания NVIDIA изменила лицензионное соглашение для драйвера, и теперь использовать графические процессоры GeForce и Titan в дата-центрах запрещено. Почему так получилось, кого коснутся изменения и какие есть альтернативы, читайте под катом.

Читать дальше →
it_man

[Перевод] Использование Docker CE (Community Edition) с Kubernetes

1 месяц ago
Прим. перев.: Автор статьи — Melvin Dave Vivas, возглавляющий команду разработчиков и SRE-инженеров в сингапурском банке, — делится своим опытом знакомства с поддержкой Kubernetes в платформе Docker.

Когда в октябре прошлого года на DockerCon 2017 технический директор Docker Inc Соломон Хайкс (Solomon Hykes) анонсировал родную поддержку Kubernetes, мне стало очень любопытно, как это будет работать.



Поэтому после анонса я решил проверить наличие этой поддержки в Edge-версии, о чём писал Michael Frills в блоге Docker. Но на тот момент её не оказалось. И вот, после нескольких месяцев ожиданий, она наконец-то появилась. Читать дальше →
shurup

Как подружить команду админов с командами разработки?

1 месяц ago

Процесс создания сервиса не ограничивается разработкой и тестированием. Помимо этого есть ещё и эксплуатация сервиса в продакшн-инфраструктуре.

Так, для реализации проекта требуются специалисты с разными компетенциями — разработчики и инфраструктурные инженеры. Первые знают, как писать код, вторые — как работает софт и в какой конфигурации он будет более эффективен.

В статье речь пойдет о том, как мы в 2ГИС выстраивали процессы работы в команде Infrastructure & Operations (9 человек) и взаимодействие с командами разработки (5 команд). На первый взгляд, всё просто и логично.
Но всё непросто и нелогично
honig

[Перевод] Первое знакомство с командой ss

1 месяц ago
В Linux есть программы, которые пригодятся программистам, специалистам по информационной безопасности, администраторам… короче говоря, каждый найдёт здесь то, что ему нужно.

Инструмент командной строки netstat был одним из тех средств, которыми часто пользовались системные администраторы. Однако команда netstat была признана устаревшей и на смену ей пришла более быстрая и удобная в использовании команда ss.



Сегодня мы поговорим о том, как применять ss для того, чтобы узнавать о том, что происходит с сетью на компьютере, работающем под управлением Linux.
Читать дальше →
ru_vds

Роботы внутри офиса: что можно сделать за 3 дня вместо полугода

1 месяц ago

История началась с того, что нам понадобился доступ к HR-системе для чат-бота. Чтобы последний мог искать контакты сотрудников по запросу вроде: «Найди того, кто может починить пиканиску». В корпоративной инфраструктуре это выглядит так: мы идём в отдел автоматизации и говорим, что нам нужны данные из HRMS. И получаем закономерный ответ:
— Пишите ТЗ, предоставим API и сервер интеграции через 6 месяцев.
— Парни, вы чего? Нам бы побыстрее!
— Тогда пишите ТЗ и письмо руководителю, сможем СРОЧНО уложиться за 3 месяца.

А нам надо было за 3 дня. Поэтому мы пошли другим путём: попросили кадровиков завести нам бота в список сотрудников и дать ему доступ к системе. Дальше он уже делал то, что на его месте мог бы делать человек.

В итоге старая шутка про то, что если программисты доберутся до власти, то весь парламент можно будет заменить простым bash-скриптом, оказалась не такой уж шуткой. Наши роботы, конечно, не самые оптимальные с точки зрения архитектуры на годы вперёд, но работают. Про то, что именно они делают и откуда такие сроки, я сейчас и расскажу.
Читать дальше →
Nika_Voronova

[Перевод] Изучаем команду wget на 12 примерах

1 месяц ago
Все мы иногда качаем файлы из интернета. Если для этого использовать программы с графическим интерфейсом, то всё оказывается предельно просто. Однако, при работе в командной строке Linux дело несколько усложняется. Особенно — для тех, кто не знаком с подходящими инструментами. Один из таких инструментов — чрезвычайно мощная утилита wget, которая подходит для выполнения всех видов загрузок. Предлагаем вашему вниманию двенадцать примеров, разобрав которые, можно освоить основные возможности wget.


Читать дальше →
ru_vds

Насколько медленнее будет ваша система после патчей для Spectre-Meltdown?

1 месяц 1 неделя ago



В начале недели компания Intel выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux (микрокод необходим для полноценного закрытия уязвимости Spectre);

Также Intel опубликовала данные об изменении производительности систем с процессорами 6, 7 и 8-го поколений после обновлений безопасности, связанных с закрытием уязвимостей “Spectre” и “Meltdown”, собранные как от пользователей, так и с помощью синтетических тестов.

Под катом несколько интересных выводов из данных, опубликованных Intel, а также о воздействии патчей на Linux-системы:

Результаты исследования Intel для клиентских систем Читать дальше →
Cloud4Y

Что подвесило систему: баг или вспышка на Солнце?

1 месяц 1 неделя ago


Исходные данные: три системы БД Oracle, которые активно обмениваются между собой данными через механизм распределенных транзакций Oracle. В один прекрасный момент на всех серверах админы стали наблюдать возникновение очередей при попытке приложения выполнить вставки/обновления данных. Тут же послали сигналы для немедленного завершения процессов, которые блокировали работу пользователей. После получаса разбирательств было принято решение перезагрузить все три системы. Далее запустили процедуры по очистке зависших распределенных транзакций, которые находились в статусах COLLECTING и PREPEARED. Подробности о том, что делать в этом случае, можно зачитать в документе: How To Resolve Stranded DBA_2PC_PENDING Entries [ID 401302.1]. После того, как системы привели в работоспособное состояние, начался разбор полетов.
Читать дальше →
JetHabr

Как защитить ИТ-инфраструктуру: 7 базовых советов

1 месяц 1 неделя ago
В новостях все чаще появляется информация об утечках данных, а крупные компании расходуют баснословные суммы на усиление безопасности. Как отмечает консалтинговая организация IDC, к 2020 году мировые траты на IT Security превысят 100 млрд долларов.

Однако для построения защищенной ИТ-инфраструктуры не обязательно тратить огромные деньги. Например, система Linux обладает встроенными механизмами защиты, которые при должной настройке позволяют отразить наиболее популярные типы атак на ОС и сети.

В этом материале мы рассмотрим несколько базовых советов, снижающих вероятность взлома ИТ-инфраструктуры и компрометации информации. Примеры в посте приведены для Linux-based систем, однако некоторые описываемые практики применимы и для других ОС.

Читать дальше →
1cloud
Выбранный
3 часа 20 минут ago
habrahabr.ru/hub/sys_admin/
Подписаться на лента habrahabr.ru/hub/sys_admin/