Жизнь сисадмина: ответим на вопросы Яндексу

1 месяц 3 недели ago
Вот и наступила последняя пятница июля — День системного администратора. Конечно, есть небольшая доля сарказма в том, что он проходит в пятницу — день, когда к вечеру мистическим образом происходит всё самое весёлое вроде падения сервера, краша почты, отказа всей сети и проч. Тем не менее, празднику быть, несмотря на загруженность периода всеобщей удалёнки, постепенное возвращение в заскучавшие и одичавшие офисы и разную новую инфраструктуру в арсенале. 

А раз праздник, пятница и лето, то самое время немного расслабиться. Сегодня будем отвечать на вопросы Яндекса — не всё ему отвечать на наши.

Читать дальше →
Free_Mic_RS

Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP

1 месяц 3 недели ago
image

Всем, кто пытался запустить виртуальную машину в облаке, хорошо известно, что стандартный порт RDP, если его оставить открытым, будет почти сразу атакован волнами попыток перебора пароля с различных IP-адресов по всему миру.

В этой статье я покажу как в InTrust можно настроить автоматическую реакцию на перебор пароля в виде добавления нового правила на брандмауэр. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.
Читать дальше →
askerov_o

[Перевод] Что такое DNS-туннелирование? Инструкция по обнаружению

1 месяц 3 недели ago


DNS-туннелирование превращает систему доменных имён в оружие хакеров. DNS – это, по сути, огромная телефонная книга интернета. А ещё DNS является базовым протоколом, позволяющим администраторам делать запросы в базу данных DNS-сервера. Пока вроде всё понятно. Но хитрые хакеры осознали, что можно скрытно общаться с компьютером-жертвой путём внедрения управляющих команд и данных в протокол DNS. Эта идея и лежит в основе DNS-туннелирования.
Читать дальше →
Varonis

[Перевод] Canary Deployment в Kubernetes #2: Argo Rollouts

1 месяц 3 недели ago
Мы будем использовать k8s-нативный контроллер развертывания Argo Rollouts и GitlabCI для запуска Canary деплоя в Kubernetes

https://unsplash.com/photos/V41PulGL1z0


Статьи этого цикла
  1. Canary Deployment в Kubernetes #1: Gitlab CI
  2. (Эта статья)
  3. Canary Deployment using Istio
  4. Canary Deployment с Jenkins-X, Istio и Flagger
Читать дальше →
alina_kocheva

[recovery mode] Установка Zimbra 9 OSE от Zextras на CentOS 8

1 месяц 3 недели ago
С выходом Zimbra Collaboration Suite 9 Open-Source Edition список поддерживаемых операционных систем пополнился операционной системой CentOS 8. Данная операционная система основана на коммерческом дистрибутиве RHEL, разрабатываемым компанией Red Hat и является наиболее свежей из поддерживаемых Zimbra OSE дистрибутивов Linux. В этой статье мы расскажем о том, как установить Zimbra 9 OSE на CentOS 8.

image Читать дальше →
Zextras

Еще раз про живую миграцию: как перенести виртуальные машины Hyper-V, да побыстрее

1 месяц 3 недели ago
     «Любишь Hyper-V – люби и PowerShell»
     Первое правило Сообщества Hyper-V в Телеграм 

     «А если любишь VMware ESXi, то люби PowerShell на пару с ESXi CLI и REST API»
     Дополнено мной

Живая миграция (live migration) – популярная функция в Hyper-V. Она позволяет переносить работающие виртуальные машины без видимого простоя. В сети много инструкций по переносу ВМ, но многие из них устарели. Вдобавок не все заглядывают в расширенные настройки и правильно используют возможности Live Migration. 

Я собрал нюансы и неочевидные параметры для быстрого переноса ВМ внутри кластера и между кластерами. Заодно поделюсь маленькими секретами в настройке и проектировании. Надеюсь, статья будет полезна начинающим админам.  

Дисклеймер: Все описанные шаги желательно сделать ДО ввода сервера Hyper-V в прод. Hyper-V никогда не прощает ошибок проектирования и подведет вас при первом удобном случае. То есть уже на следующий день. Читать дальше →
Sayanaro

Основы Ansible, без которых ваши плейбуки — комок слипшихся макарон, часть 3

1 месяц 3 недели ago

В этой части мы перестаём говорить о простом и приятном и начинаем говорить о трудном. Переменные в Ansible: scope, precedence, рекурсивная интерполяция. Для тех, кто дочитает до конца, маленький бонус: упрощённая таблица приоритетов, с которой можно жить. Предыдущие части: 1, 2.


Обычно рассказ про переменные в Ансибл начинают с чего-то очень простенького, что создаёт у читателя иллюзию, что переменные в Ансибл — это как в любом другом языке программирования. Мутабельные или немутабельные, локальные и глобальные. Это не так.


Это не так.


У Ансибла возникла уникальная модель переменных (модель памяти?), которую надо учить с нуля. И рассматривать мы её начнём с того места, где значения используются (обычно переменные Ансибла рассматривают с того места, откуда они появляются). Почему? Потому что при рассказе в этом направлении у нас образуется направленный граф, который куда легче уложить в голову.


Обратите внимание — я сказал "значения", потому что "переменные" — это всего лишь имена к значениям. У перменных свой глубокий внутренний мир, и про него во второй части.

Читать дальше →
amarao

Свыше 350 000 серверов Microsoft Exchange уязвимы перед CVE-2020-0688

1 месяц 3 недели ago


Бэкапы и патчи, латающие дыры в безопасности, вот уже много лет остаются одними из наиболее проблемных вопросов в IT-сфере. И если с резервным копированием дела обстоят получше (хотя анекдот про сисадминов, которые не делают  или уже уже делают бэкапы ещё долго будет актуален), то вот с безопасностью всё печально. История с Garmin — лишнее тому подтверждение.

Финансирование по остаточному принципу, надежда на «авось» и другие факторы приводят к регулярным утечкам и взломам. Но воз и ныне там. Cloud4Y уже не раз делился весёлыми историями про утечки и взломы систем безопасности. И вот очередная история, которая лишь подтверждает инертность компаний в таком, казалось бы, важном вопросе, как безопасность данных.
Читать дальше →
Cloud4Y

Организация разработки в изолированной сети — как управлять зависимостями?

1 месяц 3 недели ago

Как можно собрать актуальный стек используемых библиотек и фреймворков чтобы комфортно заниматься разработкой если вы самоизолировались в глухой деревне, летите 8 часов в самолете или в вашей компании лимитирован доступ к всемирной паутине настолько, что вы не можете пользоваться публичными репозиториями артефактов, например таким, как maven central? Как же нам предоставить все необходимые артефакты, от которых мы зависим, включая транзитивные зависимости? Как потом их обновлять вместе с новыми версиями фреймворка?


image


Попробуем найти ответы на эти вопросы. В данной статье я хочу рассказать о нашем новом инструменте CUBA SDK — консольной утилите, которая позволяет определять все транзитивные зависимости для Maven-библиотек и управлять ими в удаленных репозиториях. Также в статье мы рассмотрим пример, который позволит вам использовать наши наработки для любого Java приложения с применением Maven-зависимостей.

Читать дальше →
zaharchenko-evgeny

[Перевод] Сценарии использования service mesh

1 месяц 3 недели ago


Прим. перев.: автор это статьи (Luc Perkins) — developer advocate в организации CNCF, являющейся домом для таких Open Source-проектов, как Linkerd, SMI (Service Mesh Interface) и Kuma (кстати, вы тоже задумывались, почему в этом списке нет Istio?..). В очередной раз пытаясь принести в DevOps-сообщество лучшее понимание в модный хайп под названием «service mesh», он приводит 16 характерных возможностей, которые предоставляют подобные решения.

Сегодня service mesh ― одна из самых горячих тем в области программной инженерии (и по праву!). Я считаю эту технологию невероятно перспективной и мечтаю стать свидетелем ее широкого распространения (конечно, когда это имеет смысл). Тем не менее, она до сих пор окружена ореолом таинственности для большинства людей. При этом даже те, кто хорошо знаком с ней, нередко затрудняются сформулировать ее плюсы и что именно она собой представляет (включая и вашего покорного слугу). В статье я попытаюсь исправить ситуацию, перечислив различные сценарии использования «сервисных сеток»*. Читать дальше →
31337Ghost

2. Check Point SandBlast Agent Management Platform. Интерфейс веб-консоли управления и установка агента

1 месяц 3 недели ago
image

Продолжаем изучать новую облачную платформу Check Point Management Platform для управления средством защиты пользовательских компьютеров — SandBlast Agent. В предыдущей статье мы описали основные составляющие SandBlast Agent, познакомились с архитектурой Check Point Infinity и зарегистрировали приложение SandBlast Agent Management Platform на портале Infinity Portal. Сегодня мы детально изучим веб-интерфейс системы управления агентами — данная статья станет удобным путеводителем по всем функциям и возможностям облачной консоли. И в качестве подготовки к следующей статье — установим SandBlast Agent и познакомимся с его интерфейсом.
Читать дальше →
aleksey_malko

[Перевод] Canary Deployment в Kubernetes #1: Gitlab CI

1 месяц 3 недели ago
Мы будем использовать Gitlab CI и ручной GitOps для внедрения и использования Canary-деплоя в Kubernetes


Статьи из этого цикла:

Выполнять Canary-деплой мы будем руками через GitOps и создание/изменение основных ресурсов Kubernetes. Эта статья предназначена в первую очередь для знакомства с тем, как работает в Kubernetes Canary деплой, так как есть более эффективные способы автоматизации, которые мы рассмотрим в следующих статьях.

Читать дальше →
alina_kocheva

VPS на Linux с графическим интерфейсом: запускаем сервер RDP на Ubuntu 18.04

1 месяц 3 недели ago

В предыдущей статье мы разобрали запуск сервера VNC на виртуальной машине любого типа. У этого варианта масса недостатков, основным из которых являются высокие требования к пропускной способности каналов передачи данных. Сегодня мы попробуем подключиться к графическому рабочему столу на Linux по RDP (Remote Desktop Protocol). Система VNC основана на передаче массивов пикселей по протоколу RFB (Remote Framebuffer), а RDP позволяет отправлять более сложные графические примитивы и высокоуровневые команды. Обычно он используется для организации служб удаленных рабочих столов в Windows, но серверы для Linux также доступны. Читать дальше →
oldadmin

Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур

1 месяц 3 недели ago


Не так давно я писал про мониторинг Netflow/IPFIX и про Cisco StealthWatch — аналитическое решение, которое позволяет детектировать такие события, как сканирования, распространение сетевых червей, шпионское ПО, нелегитимные взаимодействия и различного рода аномалии. О расследовании инцидентов с помощью StealthWatch написано в статье.

Мониторинг облачной инфраструктуры давно уже не является новой задачей, так у каждого крупного игрока, есть свои инструменты — Amazon CloudWatch или Amazon S3, Google Stackdriver, Azure Monitor. Эти инструменты отлично подходят для мониторинга приложений, производительности и инфраструктуры в целом, но они не закрывают задачи по безопасности (да и сами провайдеры облаков не сильно ей обеспокоены): распространение зловредного ПО, ботнет-коммуникации, обнаружение аномалий, попытки сканирования, нелегитимный доступ (включая варианты с использованием легитимных учетных данных) и многое другое.
Читать дальше →
cherkasovegor

4. NGFW для малого бизнеса. VPN

1 месяц 3 недели ago


Продолжаем наш цикл статей о NGFW для малого бизнеса, напомню что мы рассматриваем новый модельный ряд 1500 серии. В 1 части цикла я упомянул об одной из самых полезных опций при покупке устройства SMB — поставка шлюзов с встроенными лицензиями Mobile Access (от 100 до 200 пользователей в зависимости от модели). В данной статье мы рассмотрим настройку VPN для шлюзов 1500 серии, идущих с предустановленной Gaia 80.20 Embedded. Вот краткое содержание:


  1. Возможности VPN для SMB.
  2. Организация Remote Access для малого офиса.
  3. Доступные клиенты для подключения.
Читать дальше →
stipler95

Как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM)

1 месяц 3 недели ago
Не так давно, Splunk добавил ещё одну модель лицензирования — лицензирование на основе инфраструктуры (теперь их три). Они считают количество ядер CPU под серверами со Splunk. Очень напоминает лицензирование Elastic Stack, там считают количество нод Elasticsearch. SIEM-системы традиционно недешёвое удовольствие и обычно стоит выбор между заплатить много и очень много. Но, если применить смекалочку, можно собрать подобную конструкцию.

image

Выглядит крипово, но иногда такая архитектура работает в проде. Сложность убивает безопасность, а, в общем случае, убивает всё. На самом деле, для подобных кейсов (я про снижение стоимости владения) существует целый класс систем — Central Log Management (CLM). Об этом пишет Gartner, считая их недооценёнными. Вот их рекомендации:

  • Используйте возможности и инструментальные средства CLM, если существуют ограничения по бюджету и персоналу, требования к мониторингу безопасности и конкретные требования к вариантам использования.
  • Внедряйте CLM для расширения функций сбора и анализа журналов, когда SIEM-решение оказалось слишком дорогим или сложным.
  • Инвестируйте в инструменты CLM с эффективным хранилищем, быстрым поиском и гибкой визуализацией для улучшения расследования/анализа инцидентов безопасности и поддержкой поиска угроз.
  • Убедитесь, что применимые факторы и соображения учтены, прежде чем внедрять решение CLM.

В этой статье поговорим о различиях подходов к лицензированию, разберёмся с CLM и расскажем о конкретной системе такого класса — Quest InTrust. Подробности под катом.
Читать дальше →
askerov_o

Мир без DevOps. Каким бы он был?

1 месяц 3 недели ago

Вспомним классику.


Разработчики с трудом выкатывают фичи раз в год. Зато админы довольны и радостны — им больше не нужно уходить с работы, они теперь работают круглосуточно, и руководство их ласково называет «нянечки для разрабов». Технологии начинают откатываться. Отладка требует сотни передач из отдела в отдел — все с огромным энтузиазмом перекидывают друг другу дохлую свинью через забор. Даже свинья улыбается. Долгое ожидание сервера под проект — запросил сервер, получил посмертно, за заслуги перед компанией. Баги в продакшене с полной уверенностью рассчитывают увидеть XXII век. SLA 50% и седые до прозрачной белизны владельцы бизнеса. Упал сервис — не проблема, подождём часок или два, пока поднимется. Универсальные инженеры на грани психоза — на столе у каждого по две полупустых баночки бензодиазепиновых транквилизаторов и пачка SSRI-антидепрессантов.


Вздрогнули? И с лёгким сердцем обратно в нормальный мир, где есть DevOps-философия и DevOps-инструменты, как часть неё.


19-21 августа пройдёт онлайн-интенсив Слёрм DevOps: Tools&Cheats. Мы покажем IDDQD из мира DevOps.



Читать дальше →
JohnRico

VixDiskLibSample: тестируйте виртуальные диски правильно

1 месяц 3 недели ago
Когда мы сталкиваемся с неким программным продуктом, с которым нам предстоит взаимодействовать, сценарий взаимодействия мы вольны выбирать сами. Можно героически изобретать велосипед, а можно понадеяться, что авторы несколько лучше, чем мы, знают свой продукт, поэтому предоставляемый ими API (или набор библиотек) является оптимальным решением. На практике, к сожалению, не всё так радужно, но сегодня не об этом.

Для работы со своей дисковой подсистемой VMware уже много лет предоставляет VDDK — развесистый набор библиотек, документации и примеров кода, с помощью которых ваше приложение может работать с дисками виртуальных машин. Само собой мы в Veeam очень не любим изобретать ненужные велосипеды, поэтому VDDK в наших продуктах используется крайне активно.

Но это всё никак не влияет на количество клиентов, которые считают, что работать с дисками можно ещё быстрее, а все предлагаемые тесты производительности показывают априори неверные результаты. Вот в такие моменты нам на помощь и приходит ультимативное оружие — VixDiskLibSample.


Читать дальше →
Loxmatiymamont

[Перевод] Вышел Windows Terminal Preview 1.2

1 месяц 3 недели ago
Представляем очередное обновление Windows Terminal Preview, которое появится в Windows Terminal в августе. Вы можете загрузить Windows Terminal Preview и Windows Terminal из Microsoft Store или со страницы выпусков на GitHub.

Заглядывайте под кат, чтобы узнать о последних новинках!

Читать дальше →
Bulanov

Patroni Failure Stories or How to crash your PostgreSQL cluster. Алексей Лесовский

1 месяц 3 недели ago


Основная цель Patroni — это обеспечение High Availability для PostgreSQL. Но Patroni — это лишь template, а не готовый инструмент (что, в общем, и сказано в документации). На первый взгляд, настроив Patroni в тестовой лабе, можно увидеть, какой это прекрасный инструмент и как он легко обрабатывает наши попытки развалить кластер. Однако на практике в производственной среде, не всегда всё происходит так красиво и элегантно, как в тестовой лабе.

Читать дальше →
chemtech
Checked
7 часов 29 минут ago
habrahabr.ru/hub/sys_admin/
Системное администрирование – Лишь бы юзер был доволен
Подписаться на лента habrahabr.ru/hub/sys_admin/