Size: a a a

Админим с Буквой

2018 June 13
Админим с Буквой
Docker up to date checking

Сервис для проверки ваших докер контейнеров на "обновленность". Для публичных - бесплатно. приватные - за денежку.

https://anchore.io/

#docker
источник
2018 June 14
Админим с Буквой
Крадем пароли, сертификаты, kerberos токены в открытом виде

В одном канале автор подняла тему защиты от подобных атак, но как мне показалось ее пост не полностью раскрывает все подробности этой ситуации. Вообще, тема эта давно и далеко не новая - любой безопасник, а особенно пентестер точно знают об утилите, которая умеет все это делать - mimikatz. Утилита довольно-таки известная, популярная и входит в массу пост эксплуатационных фреймворков.

Вообще, я хоть и закончил вуз по направлению КОИБАС (типа я дипломированный безопасник), сам к безопасникам себя не отношу, однако, для того чтобы грамотно строить свою инфраструктуру безопасность изучать следует - нужно знать и понимать к чему может привести то или иное решение. Причем, я сторонник изучения уязвимости именно со стороны атаки - потрогать руками, узнать что именно нужно злоумышленнику, чтобы поиметь вашу систему. Это и интересно и поучительно. Попробуйте обязательно поиграться с mimikatz и посмотреть результаты.

А вот и статья, которая достаточно подробно раскрывает детали ее работы, а в особенности как можно ее детектить и от нее защищаться:

https://adsecurity.org/?page_id=1821

#security #mimikatz
источник
Админим с Буквой
З.Ы. Однажды, года 3 тому назад меня попросили поставить непривилигированному пользователю всего-навсего 7zip. Через 3 минуты и 10 кликов мышкой (сколько еще надо чтобы скачать и поставить 7zip?), пользователь разворачивает консоль и показывает мне мой пароль доменного админа в открытом виде. Привет, Миша =) Тогда-то я и познакомился впервые с mimikatz, сразу, на практике.

Вообще повышать свои привилегии из-под пользователя в любом случае не безопасно - сдампить пароль можно и не только с помощью mimikatz (что уже требует прав SYSTEM на пк и некоторых знаний, как их получить), но и элементарно с помощью keylogger.

А какой именно вы видите безопасный способ выполнить привилегированную операцию на ПК пользователя? (речь идет именно о локальных операциях, когда вы сидите за его АРМ). Свое мнение можно высказать в чате: https://t.me/bykvaadm_chat
источник
Админим с Буквой
Пишем своего бота для телеграм

Очень полезный ман по написанию бота, спасибо бум за информацию.

https://legacy.gitbook.com/book/groosha/telegram-bot-lessons/details

#python #tgbot
источник
Админим с Буквой
partclone - отличная тулза для клонирования любых файловых систем (быстро и просто и может скипать плохие сектора).

#troubleshooting #disk
источник
Админим с Буквой
110 полезных команд для ОС Linux

Я потихонечку со студентами в рамках курса по Linux делаю проект, способствущий изучению командам, необходимым для работы в ОС linux. Пока это далеко даже не релизная версия, поэтому там точно есть множество несоответствий действительности, которые нужно исправлять. Если у Вас есть желание поспособствовать проекту - обращайтесь.

https://github.com/bykvaadm/SuzenEscape

группа для обсуждений: https://t.me/joinchat/CwI6k0yeabxC6teSz3usnQ

#learning #students #bash_tips_and_tricks #junior
источник
2018 June 15
Админим с Буквой
Следим за обновлениями пакетов debian

Прикольный веб-интерфейс, который показывает всю текущую ситуацию с пакетом - его версию, security issues, новости итд итп.
This service lets you follow the evolution of Debian both with email updates and a comprehensive web interface.

https://tracker.debian.org/

Так, например, можно отслеживать ситуацию с релизом ядра в debian. Как вы знаете, недавно зарелизили новое ядро 4.17, которое по оценкам потребляет в режиме idle на 10% меньше электроэнергии. С помощью сдедующей ссылки можно отследить lifecycle этой версии ядра и увидеть что оно находится в ветке experemental, все-таки ставить пока не рекомендуется.

https://tracker.debian.org/pkg/linux

#debian #packages #tracking
источник
Админим с Буквой
Переслано от vulners
Zabbix Threat Control: Transform your monitoring into vulnerability assessment system. "Fix it!" button included. #sorrynessus#sorrynessus

Enjoy Vulners Team friday release! :)

Оur plugin transforms your Zabbix monitoring system into vulnerability, risk and security management system for your infrastructure.

It provides Zabbix with information about vulnerabilities existing in your entire infrastructure and suggests easily applicable remediation plans.

Information is displayed in Zabbix in the following format:

- Maximum CVSS score for each server.
- Command for fixing all detected vulnerabilities for each server.
- List of security bulletins with descriptions for vulnerable packages valid for your infrastructure.
- List of all vulnerable packages in your infrastructure.

Installation and integration is as easy as "yum install".

Download at GitHub
Join Vulners Chat
источник
2018 June 18
Админим с Буквой
Удивительное рядом

Казалось бы - безопасность в современном мире уже набирает обороты и все больше людей повышают свою компьютерную грамотность, соц инженерия уже не так активно действует на людей, как раньше. И вот вы работаете с какой-то сторонней организацией, в которой заводят вам пользователя в своей системе, чтобы как-то взаимодействовать с вами. А потом, вдруг, неожиданно вам начинают приходить рассылки, которые вообще не для ваших глаз. И все почему? потому что ваше фио или просто фамилия совпадает с каким-то сотрудником. С кем не бывает скажете вы? За последний год такое происходит со мной третий раз. В разных организациях, которые занимаются вообще абсолютно разными направлениями. Мало того что это происходит, так еще и отписаться от этого сложно. Машина бюрократии неповоротлива, пока ты найдешь ответственных людей, которые уберут тебя из рассылки.. А дальше еще круче - через какое-то время ты снова начинаешь получать рассылки. Что это? добавление по регуляркам или просто вселенская глупость? Но как вектор атаки это тоже имеет смысл - выяснить фио руководителя и завестись в системе с таким же или похожим именем. Или взять себе имя начинающееся на А - как самое распространенное. Человеческий глаз не успеет ухватить полностью разницу, а уж в сокращении и.фамилия - тем более. Следите за вашими контрагентами, особенно за рассылками.

#security
источник
Админим с Буквой
источник
2018 June 19
Админим с Буквой
что-та сожрало все место на жестком диске!!!

Вы такие заходите на сервер, выполняете df -h и видите следующую картину:

/dev/sdb         49G   49G   0G  100% /var/log


Воу-воу, полегче думаете вы. Расчехляем пылесос и начинаем зачистку логов. Для начала следует выснить кто же поднасрал:

cd /var/log && du -hs ./* | grep G


Видим несколько файлов - 13G и 1G. Так. приехали. Уже что-то не так. окейси, вдруг там кто-то в корень логов насрал множеством файлов. ls -lash - ба. да файлов с папками всего ничего. ХММММ думаете вы. Ну, ок, посчитаем:

du -hs ./

20G

Но ведь df показывает 49!!! WTF!? Что это может значить, когда файлы по факту занимают куда меньше чем показывает общая занятость диска. Первая мысль - проверить размер диска и фс. вдруг кто-то что-то подкрутил. А вторая - куда более правильная - место занимают файлы, которых нет. Нет ничего что занимает, значит это и занимает, ага. Это значит, что мы столкнулись с ситуацией, когда файл с диска удалили, но процесс еще держит его открытым. проверим эту теорию:

# lsof | grep "/var/log" | grep deleted
filebeat   2211                root   13r      REG               8,16 32037162645         27 /var/log/haproxy.log.1 (deleted)
filebeat   2211  2212          root   13r      REG               8,16 32037162645         27 /var/log/haproxy.log.1 (deleted)
filebeat   2211  2213          root   13r      REG               8,16 32037162645         27 /var/log/haproxy.log.1 (deleted)
....


А, вот оно. Проблема в том, что при ротации лога, filebeat не отпускает старый файл. В данной ситуации достаточно перезапустить службу filebeat и волшебным образом место на жестком диске вернется обратно.

З.Ы. Вычитал тут полезный ключик для ncdu\du - ключ -x - который не будет обсчитывать вглубь примонтированные тома. так, например, если у вас смонтировано на /var, /var/log, итп какие-то тома (удаленные или локальные), запустив ncdu -x / вы получите информацию только по корню без смонтированных.

#disk #troubleshooting
источник
Админим с Буквой
источник
2018 June 20
Админим с Буквой
OVH rescue mode

Волшебный дата-центр OVH предоставляет вам возможность загружаться в resque-mode для вашего сервера. Это все очень стандартно и ничего нового. кроме одного НО. если ваш аккаунт используется корпоративно - 2 и более человек, каждый захочет туда положить свой ssh-ключ. и это нормально. ровно до тех пор, пока вы не загрузитесь в resque. Вам придет письмо, что ssh доступен через ключ, который был указан при инсталляции. Сразу возникает вопрос - какой, мать его инсталляции? Даже если пересетапить ОС на сервере и при сетапе указать нужный ключ - вы на него залогинитесь, но потом при перезагрузке в resque - снова хер! Так вот, секрет в синем ключике. Эти суки кладут ключ, который отмечен ключом по-умолчанию. И нигде об этом в явном виде не пишут.

my account -> my ssh keys -> ткнуть на ключик, который хотим класть в resque mode. Он станет синеньким.

#мудаки #ovh
источник
Админим с Буквой
Проблема при join ноды в куб кластер

(кстати на дебиане такой проблемы не встретил, только на убунте)

ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables does not exist


решение:

modprobe br_netfilter


#troubleshooting #kubernetes
источник
Админим с Буквой
источник
2018 June 21
Админим с Буквой
Colobridge приболел

Пока ситуация не понятна - перестали быть доступны сервера, которые есть у нас в этом ДЦ, а также что самое странное - их доменное имя не резолвится (colobridge.net). Если у вас есть какая-то информация о происходящем - пишите в лс.
источник
Админим с Буквой
наша раздаточка на конфе tarantool
источник
Админим с Буквой
bykvaadm
Colobridge приболел

Пока ситуация не понятна - перестали быть доступны сервера, которые есть у нас в этом ДЦ, а также что самое странное - их доменное имя не резолвится (colobridge.net). Если у вас есть какая-то информация о происходящем - пишите в лс.
UP
источник
Админим с Буквой
IT юность

Все мы были когда-то начинающими в иформационных технологиях. Кто-то только сейчас входит в этот мир, кто-то  только вляпался и с ужасом пытается вытереть веснушки, а кого-то уже с головой макнули. Как люди попадают в этот удивительный мир, полный фей и сказочных долбоебов - отдельная история. Лично я - просто зашел в универ летом посмотреть расписание, а потом поехал в Томск на свой первый attack-defense CTF админить. Сейчас, как преподавателю нескольких IT предметов в разных вузах смотришь на каждого такого студента и видишь какие-то свои черты, когда сам был в их возрасте. Что движет этими людьми? Какое их будущее? А как вы пришли в IT?

Интересный пост на эту тему от @it_intern - автора канала @it_internship. Посмотрите, парень интересные темы задвигает.

https://t.me/it_internship/49

#букварекомендует
Telegram
//АйТи интерн
Мотивация

Почему Вы хотите работать или уже работаете в IT? Зачем поступаете или поступили в технический ВУЗ? Ответы на эти вопросы и есть Ваша мотивация.

Общаясь со своими коллегами, сокурсниками и друзьями, я встречался со следующими видами мотивации:

- просто нравится - это люди, которые с детства «ковыряются» в компьютерах и программируют. В университете они обычно хорошо учатся, участвуют в олимпиадах и редко пытаются найти работу раньше 3-4 курса. Из них вырастают изумительные инженеры, способные решать сложные технические задачи;

- деньги - приземленная мотивация, но ни сколько не зазорная. Все мы хотим комфортную жизнь, ключ к этому - деньги, а IT - это то место, где можно хорошо зарабатывать. Люди с такой мотивацией стараются как можно раньше найти работу. Работают они хорошо, в ВУЗе или самостоятельно учат только то, что пригодится в профессиональной деятельности. В общем, держат нос по ветру. Также такая мотивация бывает у людей постарше, которые пытаются "войти в IT" из других сфер;

- нравится…
источник
Админим с Буквой
источник