Многие думают, что знают эти термины. Но часто ошибаются. Давайте разберемся

- Availability или Доступность. Доступная система способна обеспечить заданную функциональность в определенный момент времени. Высокодоступные системы - это системы, которые могут выдерживать определенную степень деградации, оставаясь при этом доступными

- Durability или Долговечность. Долговечная система способна выполнять свои обязанности в течение долгого времени, даже когда могут произойти непредвиденные события. Например, долговечная система хранения данных будет надежно хранить данные без их потери. При этом данные могут быть недоступны какое-то время, но они не утеряны

- Reliability или Надежность. Мера способности рабочей нагрузки обеспечивать функциональность, когда это необходимо пользователю. Как система будет работать при избыточных нагрузках. Метрика, похожая на доступность, но включающая в себя поведение системы при нестандартных условиях, таких как DDoS или черная пятница. Хорошо описано тут

- Resiliency или Устойчивость. Способность системы восстанавливаться после сбоев, вызванных нагрузкой, атаками и отказами.

Новый видео обзор CCR2004-16G-2S+
на русском!
https://youtu.be/Pq6TspAQL4U

https://docs.microsoft.com/en-us/azure/architecture/patterns/

#cloud #design #architecture

Разные способы установки kubernetes

Single node:
-  minikube
- kind
- k3s
- k3d
- microk8s

Manual installation:
- kubeadm

Automatic installation:
- kubespray
- kops
- RKE (Rancher)
- Charmed Kubernetes
- KubeSphere
- Kubermatic
- KubeOne

Managed:
- Magnum
- EKS
- GKE
- AKS

Kubernetes the hard way:
- Kelsey Hightower
- Mumshad Mannambeth

Credit

AWS Attack Detection Fundamentials Lab

https://labs.f-secure.com/blog/attack-detection-fundamentals-2021-aws-lab-1/

#aws #cloud #security #lab

#powershell

Кстати, любителям поповершелить долгими зимними вечерами выпустили новую версию PSScriptAnalyzer v1.20.0.
Говорят, что это всё ещё лучший статический анализатор для повершельных скриптов.
https://github.com/PowerShell/PSScriptAnalyzer/releases/tag/1.20.0

Любопытный инструмент

На недавнем ZN, играя в CTF'чик, зайдя на хост, увидел любопытный инструмент - pspy64. Раньше такого не встречал.

Запустив, понял что этот инструмент находясь в *user space* показывает все запущенные процессы системы с их cmdline и т.д. (В том числе рутовые процессы и процессы других пользователей системы).

Понял что тут примешено чутка хакерской магии, т.к. просто дампнуть процессы пользователя root мы конечно же не можем. Я понимал, что можно спарсить /proc, но это не настолько подробно и мне казалось что это весьма долго.

Так вот, я решил почитать о нем и также захотелось рассказать вам. Опишу идею кратко, а вы если захотите разберетесь глубже.

Встречайте: https://github.com/DominicBreuker/pspy

pspy - unprivileged Linux process snooping

pspy - это инструмент командной строки, предназначенный для наблюдения за процессами без необходимости получения прав root. Он позволяет просматривать команды, запущенные другими пользователями, задания cron и т.д. по мере их выполнения. Отлично подходит для исследования систем Linux в CTF. Также отлично подходит для демонстрации коллегам, почему передача секретов в качестве аргументов в командной строке - плохая идея.

Как это работает

Существуют инструменты, позволяющие перечислить все процессы, выполняемые в системах Linux, включая те, которые завершились. Например, существует forkstat. Он получает уведомления от ядра о событиях, связанных с процессами, таких как fork и exec.

Эти инструменты требуют привилегий root, но это не должно вызывать у вас ложного чувства безопасности. Ничто не мешает вам подглядывать за процессами, запущенными в системе Linux. Много информации видно в procfs до тех пор, пока процесс запущен. Единственная проблема заключается в том, что вам нужно поймать недолговечные процессы за очень короткий промежуток времени, в течение которого они живы. Сканирование каталога /proc в поисках новых PID в бесконечном цикле делает этот трюк, но потребляет много CPU.

Более скрытный способ - использовать следующий трюк. Процессы обычно обращаются к таким файлам, как библиотеки в /usr, временные файлы в /tmp, файлы журналов в /var, ... Используя API inotify, вы можете получать уведомления всякий раз, когда эти файлы создаются, изменяются, удаляются, к ним обращаются и т.д. Linux не требует прав привилегированных пользователей для работы с этим API, поскольку он необходим для многих невинных приложений (например, текстовых редакторов, показывающих актуальный проводник файлов). Таким образом, хотя пользователи без права root не могут напрямую следить за процессами, они могут следить за влиянием процессов на файловую систему.

Мы можем использовать события файловой системы как триггер для сканирования /proc, надеясь, что мы сможем сделать это достаточно быстро, чтобы поймать процессы. Именно это и делает pspy. Нет гарантии, что вы не пропустите ни одного процесса, но в моих экспериментах шансы кажутся высокими. В общем, чем дольше идут процессы, тем больше шансов их поймать.

Что сказать? Гениально!

❕Камрады, я очень часто ссылаюсь на ролики Кирилла Семаева, и этот человек абсолютно безвозмездно сделал очень много хорошего для сообщества - он делился знаниями, помогал подготовиться к сертификациям, помогал людям получить работу, создавая свои курсы и уроки.

Однако, сегодня стало известно, что с Кириллом случилась беда, и похоже что теперь ему самому потребуется долгое восстановление, а его девушке нужна помощь со всем этим.

- Подробности произошедшего описаны здесь: https://serveradmin.ru/kuda-propal-kirill-semaev-kirill-semaev/
- Прямо в telegram можно прочитать о произошедшем здесь: https://t.me/srv_admin/1156
- Сообщение от его девушки на его канале: https://www.youtube.com/c/KirillSemaev/about

(Далее цитата.) UPD: пишет девушка Кирилла. он вследствие врачебной ошибки потерял здоровье и работоспособность.
кто хочет помочь в сложной ситуации, номер карты Сбербанка 4276380156637956 или пишите мне в телеграм @annse4276380156637956 или пишите мне в телеграм @annse

#естьмнение, что это то самое время, когда мы можем отблагодарить человека и помочь ему.

Кому нужен собственный Uptime Robot, то рекомендую посмотреть на вот этот проект: https://github.com/louislam/uptime-kuma

Мне очень зашел.

#selfhosted #monitoring

Ох ребятушки, тут Mikrotik кто-то покусал и они просто завалили нас новостями. Мне дико не хватает времени, чтобы вести канал. Так что вот вам пачка новостей от Mikrotik:

- RouterOS v7.1:
What's new in 7.1rc1 (2021-Aug-19 13:06):

!) added support for IPv6 NAT (CLI only);
!) added support for L2TPv3 (CLI only);
*) added "expired" user status with suggestion to change password (WinBox v3.29 required);
*) added bridge HW offload support for vlan-filtering on RTL8367 switch chip (RB4011, RB1100AHx4);
*) added password strength requirement settings;
*) added skin support for WinBox (WinBox v3.29 required);
*) fixed support for RIP (Routing Information Protocol);
*) improved general stability and performance;
*) other minor fixes and improvements;


- [Winbox] Что новенького в v3.29:

*) added "Windows" menu for list of all currently opened windows;
*) added separate "Show Columns" window for list of visible columns;
*) allow changing column order by using drag and drop;
*) made "Terminal" window titles unique;

- Видео про rb5009 по-русски
- Вопросы по нему же

Новое видео из серии #Divingdeep

Diving deep into RouterOS: Switching

Слайды презентации:
https://box.mikrotik.com/f/d7fbb163d26945a99a0a/?dl=1

Подборка ресурсов по облачным и не только сертификациям

https://jayendrapatil.com/

https://tutorialsdojo.com/

https://exam-universe.com/

Если некто ещё скажет вам, что в России всё по закону - смело плюйте некту в рожу и называйте его лошадью:

https://zona.media/news/2021/09/04/votesmart

Канва: какая-то мусорная контора зарегистрировала трейд-марк "Умное голосование" на все виды деятельности. Сделали они это за месяц (тот, кто хоть раз пытался зарегистрировать трейд-марк на этом месте должны уже офигеть). А теперь подали судебный иск НА ГУГЛ. Это было 1 сентября. А 4 сентября, в субботу (sic!) после 18 (!!!) арбитражный суд Москвы принимает решение об 'обеспечительных мерах', которые заключаются в запрете Гуглу выдавать 'умное голосование' в поиске. Кстати, в Штатах праздник - там никого на работе нету, ага.

Если вы попытаетесь сделать что-то похожее, но правда по нарушению торговых знаков, то вам потребуется на такое же - год. Или два.

И скорее всего, вы проиграете.

Но закон же у нас - лошадиный.

Ну а что происходит против фишинговых сайтов, которых, как мне кажется, уже миллион  - я позже напишу. Там не менее трэш, угар и содомия. Хвалёные CERT - они ж тоже 'в рамках компетенции' работают. Позорище

Тут JUG Ru Group сделали расшифровку доклада Баруха Садогурского и Леонида Игольника с DevOops 2020. Экспертом там выступал Денис, который ведёт каналы @sec_devops и @cloud_sec.

Сильно нового там ничего нет, но послушать/почитать интересно.

Security — как много в этом звуке для сердца девопсного слилось
https://habr.com/ru/company/jugru/blog/573370/

Различия между Docker, containerd, CRI-O и runc

#docker #k8s

https://habr.com/ru/company/domclick/blog/566224/

У микротика прилёг клауд. Рабочее решение на текущий момент выглядит так:

/ip dns static
add forward-to=159.148.147.201 regexp=".*\\.sn\\.mynetname\\.net\$" type=FWD
add forward-to=159.148.172.251 regexp=".*\\.sn\\.mynetname\\.net\$" type=FWD

За последние 4 недели вышло несколько Release Candidate (RC) версий #RouterOS версии 7.1 (ветка Development).

Это первые релиз кандидаты (RC), до этого публиковались только Бэта-версии.

RouterOS 7.1rc1 (2021-Aug-19):
❗️) добавлена поддержка NAT для IPv6 (только в CLI);
❗️) добавлена поддержка L2TPv3 (только в CLI);
🔅) добавлена поддержка bridge HW offload для vlan-filtering на switch чипах RTL8367 (модели RB4011, RB1100AHx4);
🔅) добавлены настройки требований сложности для паролей;
🔅) исправлена поддержка RIP (Routing Information Protocol);
🔅) добавлена поддержка скинов для WinBox (требуется WinBox v3.29);
🔅) добавлен статус пользователя "expired" с предложением изменить пароль (требуется WinBox v3.29);
🔅) общие улучшения стабильности и производительности;
🔅) другие изменения и улучшения.

RouterOS 7.1rc2 (2021-Aug-31):
🔅) добавлен флаг "failure" для VRRP;
🔅) исправлена поддержка IGMP-Proxy;
🔅) исправлена поддержка  NV2;
🔅) исправлена работа virtual AP при использовании пакета wifwave2 на устройствах с заблокированным выбором страны (country locks);
🔅) улучшения конфигурации фильтров (routing filter);
🔅) улучшена стабильность системы при использовании новых типов очередей (queues): CAKE и fq_codel;
🔅) другие изменения и улучшения.


RouterOS 7.1rc3 (2021-Sep-08):
❗️) добавлена поддержка аппаратного ускорения IPSec для RB5009;
❗️) добавлена поддержка запуска Docker (TM) контейнеров;
❗️) добавлена поддержка ZeroTier (TM) для ARM и ARM64;
🔅) исправления соединений по L2TP (introduced in v7.1rc2);
🔅)  исправления в работе LDPv6;
🔅) улучшения производительности и стабильности L2TPv3;
🔅) улучшения производительности и стабильности VPLS;
🔅) другие изменения и улучшения.