Как DDoS повлиял на Arch Linux и что нового в релизах Kitty Terminal, Angie?

Последний новостной дайджест… в этом году. Что приготовили обновления последних дней 2025-го?

⏺Arch Linux и DDoS атаки: доступ по IPv6
Arch Linux временно отключил доступ к web-сервисам на домене archlinux.org по IPv4 в ответ на DDoS-атаку. Cайт остаётся доступным по IPv6, и сервисы AUR, Wiki, форум и GitLab продолжают работать. Если основным репозиториям недоступен доступ по IPv4, рекомендуем переключиться на зеркала, перечисленные в pacman-mirrorlist, чтобы продолжить обновления и установки. Подробнее о статусе можете прочесть здесь ,больше о доступе найдете в треде.

⏺Kitty Terminal 0.45 – стабильность и расширенные возможности превью
Состоялся релиз терминала Kitty 0.45. Многофункциональная версия, с поддержкой опции GPU‑accelerated, кроссплатформенного эмулятора ориентирована на стабильность. Исходный код проекта написан на Python, C и Go и опубликован на GitHub под лицензией GNU General Public License v3.0. В версии 0.45 представили опцию choose-files для выбора файлов с интерфейсом, ориентированным на клавиатуру, и поддержкой предварительного просмотра содержимого. Новая версия решения в значительной степени ориентирована на стабильность, в ней исправлены ранее найденные некритичные ошибки. Подробнее читайте здесь.

⏺Веб-сервер Angie 1.11.0, созданный бывшей командой Nginx
24 декабря 2025 года разработчики из компании «Веб-Сервер» выпустили веб-сервер Angie 1.11.0. Форк Nginx получил сертификаты совместимости с российскими ОС «Ред ОС», Astra Linux Special Edition, «Роса Хром Сервер», «Альт» и «ФСТЭК‑версии Альт». В Angie 1.11.0 команда сосредоточилась на observability и надёжности: появился новый модуль метрик для сбора и агрегации в реальном времени с выходом в Prometheus/JSON, что упрощает детекторинг узких мест; параллельно решены проблемы с HTTP/3 и улучшена маршрутизация QUIC через BPF-доработки, а также расширена поддержка ACME (включая ALPN и отчёт о перевыпуске сертификатов в API/Prometheus), что делает работу с TLS более предсказуемой. Подробнее о релизе читайте здесь или в обзоре.

#archlinux #ipv6 #linux #kittyterminal

Дед Мороз заглянул в DevOps FM...

Чтобы поздравить подписчиков с наступающим Новым годом!🎄Как снегурочки-администраторы мы благодарим вас за участие в обсуждениях, пересылки гайдов (и не только) коллегам, внесение правок и коррективов в посты о штурвалах и кораблях 👩‍💻 И говорим спасибо за то, что вы есть!

В 2026 году желаем спокойных смен, реализации самых смелых идей и движения вперёд к поставленным целям!

В качестве благодарности за вашу активность, продолжаем традицию дарить открытки. Если возникнет желание порадовать коллегу в офисе, версия для печати – здесь.

⏺А чтобы было чем заняться на январских, подготовили подборку постов за 2025:
•Использование скрытых каталогов Unix
•Слышали про bundle-uri в Git?
•Стратегии по disaster recovery с Terraform
•Как подготовиться к облачным инцидентам: рассказали подробнее
•Выбор in-memory БД в 2025: Redis, Valkey, DragonflyDB и KeyDB
•Логирование и мониторинг — топ-3 инструмента для DevOps в 2025
•От values-файлов к управлению вариантами конфигураций в ConfigHub: как перестать рендерить вслепую

С наступающим Новым годом и до встречи в 2025+1👩‍💻

🖖Всем DevOps! Новогодние салаты кончаются, салюты отгремели, а исполнение желаний требует сил и планирования...с Новым 2026 годом!🎄

Самое время порадоваться успехам ушедшего года и задуматься, как избежать ошибок в новом. Рекомендуем провести базовый аудит, рассмотреть пути карьерного роста и повышение квалификации. Все эти шаги помогут, если проблемы возникли в работе инженера или разработчика, а не менеджера, куратора, pm-а.

По результатам опроса коллег из State of DevOps, среднее количество задач на технического сотрудника выросло с 3,76 до 4,15. Жаль, не был замечен рост зарплаты... А если серьезно, на рабочем месте инженер всё больше и швец, и жнец, и на игре дудец. Помимо повышенной нагрузки возникают и другие проблемы. В крупных компаниях все действия и бездействия приходится согласовывать, а в компаниях малого и среднего бизнеса – брать больше задач и обучать джунов. Свои плюсы и минусы есть везде, но как выбрать из двух зол?

👨‍💻Если вы всё ещё в раздумьях, в какой компании можно развить компетенции и не умереть в 2026, пройдите наш тест "Я был рождён, чтобы работать в...", а в комментариях делитесь результатами.

Узнайте, где комфортно работать – тут.

P.S. для C-level и владельцев бизнесов: спасибо за ваш труд, тест – развлекательный, с юмором и стереотипами. Предлагаем поделиться мыслями в комментариях💬

Обновления 2026: Kubernetes 1.35, Debian 13.3, Zena и Argo

👨‍💻Уже среда? По расписанию – первый новостной дайджест этого года.

⏺Функции в Kubernetes 1.35
В начале месяца Kubernetes анонсировали функцию In-Place Pod Resize Graduates to Stable с изменением в CPU-лимитах и запросах. Отслеживайте ресурсы внутри работающего пода, без перезапуска контейнера. Также анонсировали две функции: Toleration операторов для числовых сравнений (alpha), Gt(больше чем) и Lt(меньше чем) spec.tolerations, и управления credential-плагинами для kubectl. Ознакомиться с use-кейсами по альфа-функции здесь а с полным описанием функций бета-версии тут.

⏺Обновленный Debian: исправили ошибки, добавили патчи
Вышло обновление в дистрибутиве Debian Trixie на базе ядра Linux 6.12.63-1 LTS. Команда подчеркивает – релиз не является новой версией и включает обновленный набор пакетов. В версию 13.3 были включены пакеты для ansible, apache, dpdk, flatpak,gnome-shell с upstream-релизами, исправлены ошибки в awfull, calibre, composer и др. Команда устранила комплекс проблем: переполнение целочисленных значений, некорректный анализ переменных окружения, ошибка отказа в обслуживании, инициализации длины буфера шифрования. Ознакомиться со списком пакетов тут, обновления безопасности и общая информация здесь.

⏺Мятный Linux 22.3 – что нового?
Состоялся релиз Linux Mint «Zena» на ядре Linux 6.14 и базе Ubuntu 24.04 LTS, поддержка версии осуществляется до 2029 года (LTS). В обновлении преобразовали инструмент «System Reports», актуальное название «System Information», добавили страницы для просмотра детализированного списка подключённых USB-устройств с типом, идентификатором и группировкой по контроллерам, информацию о PCI-устройствах, PCI ID и используемых драйверах. Также представили функцию управления «System Administration» со страницей «Boot menu», где вы можете задать время отображения и параметры загрузки. Подробнее об обновлении здесь, а инструкцию для сборки на Cinnamon 6.6, Xfce 4.18 и MATE 1.26 найдете тут.

⏺Argo CD Agent: управление кластерами и приложениями
Red Hat объявили о выходе Argo CD Agent совместно с релизом Red Hat OpenShift GitOps 1.19. Пользовательский интерфейс и API разворачиваются в централизованной control plane, а ключевые компоненты, такие как application-controller, – локально в каждом кластере. В релизе представлены два режима работы: управляемый и автономный. Для обеспечения отказустойчивой EDS ввели два компонента. Principle передает команды, статусы между Control hub и агентами управляющих кластеров, а Agent обеспечивает масштабируемость. Подробности обновления здесь, инструкция по установке агента тут.

#дайджест #kubernetes #linux #gitops #argocd

🎙️Слушаем пятничную подборку подкастов в DevOps FM!

⏺Flox, Nix, and Reproducible Software Systems от Software Engineering Daily. В новом выпуске затронули проблему воспроизводимости и безопасности в современной разработке ПО и обсудили, как подход Nix к управлению пакетами и зависимостями повышает воспроизводимость и безопасность, а также роль Flox в проектах. Болл предложил варианты деплоя без классических больших Docker-образов, поднял вопросы мультиархитектурных разрешений зависимостей (разрешение «closures» и групп пакетов) и их ограничения на практике. Узнать детали – здесь.

⏺We Broke Our EKS Cluster Autoscaler with the AL2023 Migration от Kube FM. Барт Фарелл разбирает инцидент, который возник при миграции EKS на Amazon Linux 2023. Почему после обновления AMI автоскейлер потерял AWS-права в кластере, как корректно внедрить IRSA (IAM Roles for Service Accounts), проверить зависимость конкретных подов от IAM-ролей нодов и очистить устаревшие IAM-разрешения, чтобы сократить атаки после миграции – слушайте тут.

⏺ Engineering Around Extreme S3 Scale with R. Tyler Croy от Last week in AWS. Р. Тайлер Крой, инженер Scribd, рассуждает с Кори Куинном о проблеме хранения миллиардов объектов в облачном объектном хранилище S3 и. Как организовать работу, когда простые задачи обходятся компании в 100 000 долларов. В подкасте услышите тезисы о распределении бюджета на инфраструктуру в облаке, опыт Scribd, накопленный за 18 лет на рынке. Крой настаивает – стандартные решения больше не работают при большом потоке вводных данных, нужно генерировать новые. Подробности – здесь.

Приятного прослушивания и пятниц без инцидентов🛡

#подкаст #devops #kubernetes #eks

Ко8мар в n8n: 𝗖𝗩𝗘-𝟮𝟬𝟮𝟲-𝟮𝟭𝟴𝟱𝟴

🚀Всем DevOps! Сегодня речь пойдёт о безопасности. Cyera Research Labs опубликовала отчет о CVE-2026–21858, коротко «Ni8mare», уязвимости CVSS 10.0. Пользователь Марио Кандела задеплоил кастомную ловушку в Beelzebub, чтобы отследить попытки взлома в n8n. Ниже – разбираем spray-атаку на n8n и даём рекомендации по её устранению. Полностью статью читайте – тут.

👀В чём суть проблемы?
Некорректная обработка HTTP-запросов в n8n Form Webhook.

Обычный флоу: пользователь загружает файл через форму, у запроса тип Content-Type: multipart/form-data . n8n использует Formidable для безопасного анализа загрузки, хранит файлы в случайной временной директории.
Флоу с уязвимостью: если злоумышленник меняет Content-Type на application/json, n8n использует другой парсер (`parseBody()`), который напрямую заполняет req.body.files значениями, и пользователь может взять над ними контроль.

Полная цепочка эксплуатации от Cyera здесь.

Журнал атаки:
⚫️7 января 2026: отчёт
Cyera Research Labs опубликовала подробный отчёт о Ni8mare уязвимости, которая позволяет выполнять неавторизованный удаленный код на локально развернутых экземплярах n8n.

⚫️9 января 2026, 06:58:32 UTC Начало конца
⏺Фаза 1: разведка


User-Agent: python-requests/2.32.5

Злоумышленник запрашивает /rest/settings для определения n8n-версии. Пользовательская ловушка предоставляет информацию – 1.120.0 (уязвимая)

⏺Фаза 2: spray-атака (06:58:33–06:58:35 UTC)
В течение нескольких секунд была запущена spray-атака на несколько endpoint-ов с идентичными вредоносными нагрузками



Content-Type: application/json
User-Agent: python-requests/2.32.5
{
  "data": {},
  "files": {
    "f-t8ebu1": {
      "filepath": "/etc/passwd",
      "originalFilename": "z0nojfcn.bin",
      "mimetype": "application/octet-stream",
      "size": 43492
    }
  }
}



⏺Анализируем payload
Точное совпадение с CVE-2026–21858. За 3 секунды 17 endpoint-ов подверглись атаке.

Ni8mare не даёт спать: уязвимость не требует аутентификации, легко воспроизводима и может привести к последующей полной компрометацией инстанса n8n. Censys оценивает 100.000 инстансов в сети как потенциально уязвимые. Есть ли среди них ваш?

⏺Что делать уже сейчас?
1. Немедленно обновитесь до версии 1.121.0 или более поздней
2. Закройте публичный доступ к n8n
3. Запрашивайте аутентификацию ко всем Form-ам и Webhook-ам
4. Отслеживайте логи на наличие Индикаторов Компроментации (IoCs): сетевые, HTTP-паттерны запроса, Sigma-правила

👩‍💻 Подборка полезного:
•CVE-2026–21858 — GitHub Advisory
•Конфигурация Beelzebub n8n honeypot

#devsecops #cybersecurity #vulnerability #cve

Релизы и безопасность

Срединедельный DevOps! Поговорим о том, как Cozystack 0.41 добавляет MongoDB и улучшает стабильность Kubernetes, а MX Linux 25.1 возвращает поддержку dual-init-a.

⏺Cozystack v0.41.0: MongoDB
Вышел релиз версии Cozystack. В v0.41.0 добавили поддержку системы управления БД MongoDB. Она располагается наряду с PostgreSQL, MySQL и Redis. К ключевым особенностям относим интеграцию с хранилищем бэкэндов Cozystack, настраиваемые CPU, встроенный экспорт метрик для мониторинга. Чтобы развернуть MongoDB через Cozystack дашборд используйте первый и второй workflow. Также, в новой версии представлены улучшения в работы хранилища, патчи для piraeus-server, рефакторинг проверки RWX на уровне года, повышение стабильности работы Kubernetes за счет увеличения значений resourcesPreset apiServer по умолчанию до large и увеличения порог startup-probe для kube-apiserver. Подробнее о релизе – тут.

⏺Опасайтесь VoidLink
На портале Checkpoint Research опубликовали отчёт о мультифункциональном вредоносном ПО китайского происхождения (см. тут). VoidLink включает 37 плагинов, среди которых есть модули для устранения следов, выхода из контейнеров, сбора SSH-ключей, токенов и API-ключей. Фреймворк ориентирован на cloud- и container-first-среды и способен стабильно работать в Kubernetes и Docker, адаптируя поведение под окружение. Используются LD_PRELOAD, загружаемые модули ядра (LKM) и eBPF. Подробнее - здесь.

⏺Бесконечность не предел: MX Linux 25.1 «Infinity»
Релиз MX Linux 25.1, Debian-based дистрибутива. Все сборки поставляются с ядром Linux 6.12 (Debian-ветка), за исключением Xfce-AHS, где используется ядро 6.18 с патчами liquorix. В AHS-сборках также обновлён Mesa до версии 25.3.3. Включены все обновления Debian до Debian 13.3 и все актуальные обновления из репозиториев MX. В релизе анонсировали возвращение поддержки dual-init (systemd + sysvinit) в едином ISO-образе, что сокращает количество сборок, systemd теперь обновляется через Debian, а не через отдельный MX-пакет, что упрощает поддержку. Для желающих установить – инструкция тут.

#devops #cozystack #mxlinux #kubernetes #platformengineering

Новые Ops-ы: как мы дошли с Dev-а до Fin-a

В эту пятницу закрываем следующие таски: зачиллиться на дежурке (отдыхающим, просьба не завидовать 👨‍💻), не завалить прод и окунуться в историю. Если не задумывались, как от DevOps-а за 18 лет мы дошли до FinOps, зачем нам DevSec и ML – давайте разбираться вместе.

⏺DevOps умер, да здравствует DevOps!
Традиционно, считаем, что DevOps начал свой путь с модели Agile. Но мало кто упоминает пре-DevOps эру Waterfall (1970-1990-е), тёмное время для инженеров. Команды работали изолированно, Dev лишь «передавал» продукт Ops на запуск. Длинные циклы, редкие релизы, а ошибки дорого обнаруживать и ещё дороже исправлять. К счастью, в начале нулевых Agile сократил цикл от идеи до кода и дал возможность быстро тестировать гипотезы. Что было дальше, знаем: этапы роста первого (и основного) Ops-а – тут. Кстати, если вы думаете, что DevOps умирает, прочтите заметку о текущем «здоровье» – здесь.

Когда скорость разработки пришла в норму, появилась новая проблема – безопасность в CI/CD.

⏺Зачем нужна безопасность? Роль Sec-а в DevOps
Если DevOps-инженеры сосредоточены на том, как быстрее вывести приложение на рынок, этап тестирования безопасности, закономерно, уходит в конец рабочего цикла. В десятых годах 21-го века по мере совершенствования инструментов и развития процессов стало ясно – ни один отдел ИБ не успевает проверить все релизы. На помощь пришла методология DevSecOps которая устраняет уязвимости, обнаруженные в быстро меняющихся средах DevOps. В уходящем году мы успели поговорить о мифах DevSecOps, но главный вопрос открыт – что ждет DevSec сегодня? Всё об использовании инструментов 2026 читайте – тут, и там.

Как мы радовались первым чат-ботам и грезили о светлом будущем в мире ИИ. Стоило немного разобраться в его влиянии на воркфлоу и изменения цикла разработки.

⏺MLops – новый этап развития в поставке ПО
Казалось бы, процесс разработки отлажен, безопасность обеспечили, так еще и автоматизированные помощники появились. Около 8-ми лет назад компании радовались новой реальности и внедряли практики машинного обучения в рабочие процессы. Результат довольно предсказуем – около 85% проектов в области AI и ML так и не дошли до продакшена. В 2026 команды сталкиваются с техническими проблемами и сбоями в CI/CD пайплайнах и обновленной инфраструктуре (вектора DBs). Подробнее о развитии MLops – тут, а ТОП-10 инструментов ML в Ops 2026 года – здесь.

Наконец, проблемы решены, можем расслабиться… подумало сообщество, но «слишком хорошо» превратилось в «плохо».

⏺Что такое FinOps-культура и как она полезна команде?
Когда инфраструктура требовала масштабирования, её просто наращивали, и это почти не требовало объяснений. Теперь ресурсы растут соразмерно стоимости, и каждое техническое решение внезапно требует пояснений и обоснований. Оптимизация расходов – не дополнительная опция или задача под звездочкой, а новая реальность. FinOps Foundation отмечает, что компании, которые используют FinOps-практики, экономят 20–30% затрат в облаке и одновременно повышают вовлечённость команд. Team-lead инфраструктурного отдела, DevOps-инженер Nixys Пётр Рукин совместно с Практиками FinOps обозначили, кто должен заниматься внедрением культуры, как это осуществить и что с этого получают инженеры – на Habr.

А вы готовы к следующему Ops? Какие практики, по вашему мнению, станут обязательными в будущем?

#devops #devsecops #mlops #finops