Selectel — IT-компания, провайдер IT-инфраструктуры и гордый владелец сети дата-центров. Среди продуктов — надежные выделенные серверы и крупнейшее в России облако OpenStack.

У них появился канал @selectelcareers, где можно взглянуть на компанию как на работодателя.

Внутри — вакансии, доклады сотрудников с конференций, полезные подборки, рассказы о well-being и карьерные материалы.

Подписывайтесь, чтобы узнать о компании больше: @selectelcareers

Новый курс от Антона Ларичева по Docker и Ansbile (15,5 часов видео-лекций, задания и упражнения). Рассматривается deploy реального стека приложений на кластер серверов Swarm с помощью Ansible.

Детально разбираются такие технологии, как Docker, Docker Compose, Docker Swarm и Ansible. При этом курс содержит не только базу для новичков, но и более сложные темы, к примеру отладку и асинхронные задачи в Ansible или управление кластером при помощи модулей Docker.

В результате курса вы получите знания и навыки, которых будет достаточно для того, чтобы автоматизировать своё работу на проекте и эффективно доставлять реальные приложения на production. Для поддержки у вас всегда будет доступ к чату, где вы можете задавать вопросы преподавателю или другим студентам.

Для подписчиков канала промокод для покупки курса за 1090 рублей👇

https://www.udemy.com/course/docker-ansible/?couponCode=35BBF4DA620D23E4E84A

#реклама

кубернетес для самых маленьких

Статья для тех кто куб кто ещё не трогал или только-только начинает трогать и не читал официальную доку. Это как с лурком - можно про теорию струн прочитать на вики, а можно на лурке. суть одна и та же, а язык разный.

https://habr.com/ru/company/flant/blog/583660/

#ИБ #Вакансия

Всем привет,

Мы в VK находимся в поисках инженеров и экспертов по информационной безопасности.

Задачи:
• разрабатывать и внедрять механизмы обеспечения информационной безопасности;
• проводить аудиты безопасности инфраструктурных систем и веб-проектов;
• участвовать в работе Bug Bounty программы VK;
• консультировать администраторов и разработчиков, помогая им строить безопасные сервисы;
• исследовать вопросы безопасности различных технологий, предлагать решения и разрабатывать рекомендации по их безопасному использованию.

Требования:
• хорошо разбираться в основных типах атак и уязвимостей;
• уметь искать уязвимости «руками»;
• хорошо разбираться в Linux-системах;
• хорошо разбираться в сетевых протоколах и атаках на них;
• уметь программировать на скриптовых языках;
• уметь общаться с людьми.

Формат работы: удаленка/гибрид/офис.

Зарплатная вилка: гибкая, так как ищем специалистов от уровня middle до lead.

Более подробное описание проекта и условий можно найти по ссылке.
По всем вопросам пишите в телеграм - @askobeev или на почту a.skobeev@corp.mail.ru

🗓 28 октября в 18:00 приглашаем на Azure DevOps Project Insider.
⠀
Команда EPAM в прямом эфире обсудит тренды Cloud-технологий и расскажут о возможностях развития Azure DevOps-инженера в EPAM.
⠀
Подключайтесь онлайн, чтобы:
⠀
✔️ Исследовать преимущества Azure перед иными Cloud-платформами
✔️ Рассмотреть стек технологий Azure Cloud-разработчика в ЕРАМ
✔️ Изучить свои карьерные возможности в инновационной сфере
✔️ Узнать о проектах ЕРАМ в Azure DevOps-практике
✔️ Задать вопросы нашим ведущим инженерам

Язык встречи: русский.
Регистрация по ссылке.

До встречи!

как меня в гугле забанили

Очень надеюсь что эта краткая заметка позволит вам сохранить много времени.

Все не любят перемены. И больше всего гугл. Представьте себе что у вас есть корпоративная почта в гугл воркспейсе, различные группы рассылок, служебные учетки и вы шлёте письма клиентам и сотрудникам через вот это вот всё. А затем приходит необходимость поменять свой внутренний smtp relay и вы начинаете слать письма с другого места и дальше начинается самое веселое: письма перестают приходить либо вообще, либо в идут в очень маленьком количестве.

Куда смотреть о проблеме и что делать вообще:
1) admin.google.com -> отчёты -> поиск в журнале электронной почты. Здесь мы можем задавать разные фильтры кому-от кого-с какой темой и наткнуться на то что:
- гугл реджектит часть писем на подлёте, говоря что это спам/фишинг
- гугл отправляет часть писем на модерацию
2) admin.google.com -> безопасность -> центр оповещений. Что воообще происходит с вашими аккаунтами - проверить инфо о том залочен-не залочен
3) groups.google.com ->  вступаем в нужную группу, находим ее через этот урл и ищем письма "на рассмотрении". Это как раз те письма которые отправлены на модерацию. И их еще можно восстановить. Здесь можно пометить письма и их автора как надёжные
4) admin.google.com -> приложения -> google workspace -> gmail -> безопасность. Добавляем здесь в вайтлисты ваши аккаунты рассылки и отдельно доверенные шлюзы - ip адреса с которых выполнется рассылка.
5) мониторинг. постарайтесь мониторить статистику успешно доставленных до гугла писем.

#gmail

Хочешь знать, как эффективнее всего защититься от кибератак?

Уже с 16 по 18 ноября ждем тебя на одном из самых важных событий этого года в сфере информационной безопасности  — глобальной онлайн-конференции CLOUDSEC 2021 (https://bit.ly/3jFrwm3) от Trend Micro.

Тебя ждет 72 часа полного погружения в мировой опыт облачной безопасности. Обсудим тренды, перспективы развития, вызовы, актуальные проблемы и их решения.

А что еще?

📍Тематический контент;
📍Живые выступления;
📍Полезные инсайты;
📍Нетворкинг;
📍Выставка решений;
📍Площадка ресурсов;
📍Игровая среда.

Регистрация уже началась. Переходи по ссылке: https://bit.ly/3jFrwm3

На Хабре вышла расшифровка вебинара «Дыры и заборы: безопасность в Kubernetes»: https://habr.com/ru/company/southbridge/blog/584306/

Если эксперты нравятся, имейте в виду: 5–7 ноября они ведут интенсив по безопасности в кубе, на него можно зарегистрироваться со скидкой 50%. Введите промокод SecK8s по ссылке https://slurm.club/3nArGfQ

Хорошо учиться на чужих ошибках, но еще лучше — на историях успеха.

С 8 по 11 ноября на конференции DevOops 2021 спикеры расскажут о лучших DevOps-практиках, которые помогли им наладить процессы в команде:
✔️ Олег Ненашев, «[R]Evolution of open source CI/CD tools»;
✔️ Павел Селиванов, «Повышаем отказоустойчивость и снижаем расходы в Kubernetes»;
✔️ Алина Власова, «Как сделать стабильно, когда тысячи разработчиков могут всё сломать, или как организован CI в монорепозитории "Лаборатории Касперского"»;
✔️ Владимир Гурьянов, Андрей Колаштов, Дмитрий Столяров, «TSDB – взгляд изнутри. Миграция на Prometheus и Cortex. Опыт Okmeter»;
✔️ Kerim Satirli, «Building Trustable Infrastructure».

Это лишь малая часть программы — вас ждет 30 докладов и воркшопов. Узнать подробности и купить билет можно на сайте (https://bit.ly/3yAA6aE).

Кстати, промокод bykvaadm2021JRGpc еще действует, и поможет приобрести Personal Standard билет со скидкой 2000₽.

защищаем апишный роут в nginx

действия не сложные, но приходится делать  не часто, потому не помню всё наизусть  и каждый раз гуглить приходится, а потому запишу сюды, чтобы было.

Дано: апи, и N подрядчиков которые будут туда ходить. на границе с интенрнетами стоит nginx.
Задача: максимально защитить доступ к апи для внешних сервисов.  (подходит в том числе для pcidss)

1) каким либо способом генерим сертификаты. Хорошо описано вот здесь: https://habr.com/ru/post/213741/#comment_10231686
По сути нам нужно будет получить пару для УЦ, пару для nginx, и N пар для клиентов. там же написано как это подключить, чтобы требовало проверки, используя  ssl_client_certificate и ssl_verify_client on;
2) для того чтобы ходить могли только конкретные сертификаты, нужно рассказать nginx какие из них доверенные. это сделать можно например проверяя сериал или хеш сертификата, в данном случае сериал. получаем его так:

cert=filename.crt
serial=$(openssl x509 -in ${cert} -text -noout | grep -A1 Serial | grep -v Serial | tr -d ' ') && \
echo classic serial: $serial && \
echo \$ssl_client_serial: $(echo $serial | tr -d ":" | tr '[:lower:]' '[:upper:]')

и интегрируем

    map $ssl_client_serial $reject {
        default 1;
        ..........C5CE16 0; #client1
        ..........635A2D60 0; # client2
    }
    server {
....
      location / { deny all; }
      location /secret {
        if ($reject) { return 403; }

тут мы запрещаем ходить везде кроме особого роута, чтобы клиент не мог случайно попасть на случайно открытые роуты которые ему не предназначены (когда разраб накосяпорил и выставил какой-то роут с дебагом или метриками)
3) получаем список ip подрядчика и пишем в роуте стандартные allow-deny

        allow 1.2.3.4 # client1
...
        deny all;

4) в качестве дополнительной проверки передаём апстриму инфу о том что за клиент пришёл

proxy_set_header X-Subject-Name $ssl_client_s_dn;

Таким образом, только конкретный ip только имея конкретный сертификат может сходить только на конкретный роут и о том какой пришёл клиент узнаёт бекэнд.

#nginx #security

Ожиданием, что следующий митап будет 10/10 😎 10 ноября встречаемся в онлайне на нашем юбилейном десятом DevOpsMinsk meetup!

🎙Посмотрим на реальный опыт запуска kubernetes на Windows, в чем заключаются отличия от Linux и какие проблемы можно ожидать. Ну, а мониторинга много не бывает – обсудим из чего он состоит, пробежимся по существующим решениям и подчеркнем их достоинства и недостатки.

🗓Дата и время: 10 ноября, 17:00 (UTC+3)

Регистрация открыта https://community-z.com/events/devopsminsk-meetup-10
Поздравления тоже принимаются ☺️

🚀 Хотите объективно взглянуть на свои бизнес-процессы и принимать решения на основе данных?

Хорошие новости: благодаря облачным технологиям бизнес-аналитика доступна не только большим компаниям, но и малому бизнесу. О них на вебинаре расскажут эксперты VK Cloud Solutions и Qlik Sense.

⏰ Когда: 16 ноября, 17:00 (мск)
📍 Регистрация:  https://cutt.ly/tR2RK6a

Спикеры:
🔹 Алексей Бестужев, архитектор VK Cloud Solutions
🔹 Семён Астахов, ведущий архитектор Qlik Россия и СНГ

О чем поговорим на вебинаре:

▫️ Принципы работы современных BI-платформ и возможности сервиса Qlik Sense.
▫️ Особенности облачных BI-решений и кейсы, в которых такие технологии оказались наиболее эффективны.
▫️ Как развернуть и настроить Qlik Sense в облаке.
▫️ Как интегрировать Qlik Sense с популярным стеком инструментов работы с данными (Hadoop, PostgreSQL, ClickHouse) для решения частых аналитических задач.

Зарегистрироваться: https://cutt.ly/tR2RK6a

как достать файл с околомёртвого сервера

Представим что у вас есть важный сервер у которого наебнулась ФС. да причем не просто в RO, а так что вообще с диска ничего нельзя прочитать. И вас на этом сервере какой-то непрерывный бизнес-процесс который по каким-то причинам нельзя не остановить ни перенести. Задача - забрать с сервера сгенерированный файл с данными.

Проблема 1 - если диск зафакаплен напрочь, куда писать? тут на помощь придут временные фс которые смонтированы в память, например /run. туда можно положить ваш файл с данными
Проблема 2 - нельзя воспользоваться ни одним файлом который не был предварительно загружен в память, поэтому никаких curl, nc, python итп. В итоге подобралось 2 рабочих решения, которые можно использовать в такой ситуации.

1) если жив cat и мы можем юзать баш
Твой комп:

nc.traditional -lvp 8888 > /tmp/exfil

Сервер:

cat < /file/to/exfil > /dev/tcp/<твой ip>/8888

2) если жив cat, ssh
ssh host cat {remote_file} > {local_file}

в случае если cat мертв можно перебрать какой-нибудь из других способов вывода на stdout:
https://t.me/bykvaadm/380

Графана свой PD завезла

https://grafana.com/blog/2021/11/09/announcing-grafana-oncall/

Как защитить от взлома свой IP-адрес

Каждые 39 секунд в мире происходит одна хакерская атака. Чтобы обезопасить себя, попробуйте бесплатное защитное ПО Crowdsec с открытым исходным кодом.

Почему CrowdSec крут:

1. Не привязан к конкретной платформе: данные никуда не утекут. CrowdSec защищает от вредоносных ресурсов и файлов с помощью нескольких команд.

2. Разные способы блокировки: капча, брандмауэринг, понижение уровня разрешений, многофакторная аутентификация и т. д. Это увеличивает защиту сервера от хакерских атак.

3. Соответствует требованиям GDPR и политик конфиденциальности, совместим с различными ПО и компонентами, работает компактно: не требует большого объема ОЗУ и ресурсов ЦП.

4. Вы получите фичи в подарок, если поучаствуете в краудсорсинге, и будете помогать выявлять вредоносные IP-адреса. Так мы создаем самую большую в мире базу вредоносных IP-адресов.

5. Легко установить и попробовать, справится даже начинающий сисадмин.

Давайте вместе сделаем Интернет безопаснее — скачивайте CrowdSec.

Weekend offer для SRE-инженеров

Для тех, кто хочет познакомиться с тимлидами, узнать подробности о работе в техническом департаменте VK и получить офер всего за одни выходные. Прием заявок пройдет с 18 ноября по 3 декабря; технические собеседования ― 4 декабря 2021, с 12:00 до 20:00; финальные интервью ― 5 декабря 2021, с 10:00 до 17:00.

SRE-инженеров ищут: ВКонтакте, Почта Mail.ru, Рекламные технологии, Delivery Club, VK Cloud Solution и другие сервисы экосистемы VK.

https://clc.to/bykvaadm