We Automated Everything Except Knowing What's Going On

Искусственный интеллект удешевил разработку программного обеспечения, но лежащие в его основе системы дают сбой.

📌 Подробнее: https://eversole.dev/blog/we-automated-everything

MemOps 🤨

MemOps 😃

Why our Kafka consumers survived the day but died every night

It took us 4–5 incidents over several weeks to even recognise the pattern.

📌 Подробнее: https://medium.com/@lokeshsoni/why-our-kafka-consumers-survived-the-day-but-died-every-night-8c9eb6ae528f

MemOps 🤨

MemOps 😃

Docker2exe превращает Docker-контейнеры в самодостаточные исполняемые файлы для Windows. Полезно, когда нужно быстро упаковать сервис и запустить его на машине без Docker.

Преимущества: простая развёртка, переносимость, удобно для тестов и демо.

Минусы и предостережения: убедитесь, что внутри контейнера нет секретных корчей и что вы выполняете только знакомый код.

📌 Подробнее: https://github.com/rzane/docker2exe

MemOps 🤨

MemOps 😃

Marimo CVE-2026-39987 (CVSS 9.3): WebSocket без auth-чека, в Docker — сразу root

Если в инфраструктуре крутится Marimo — проверьте версию прямо сейчас. Эндпоинт /terminal/ws не вызывал validate_auth(), WebSocket-handshake отдаёт PTY. В официальном Docker-образе процесс работает от root, эксплуатация тривиальна.

Sysdig поймал первую атаку через 9 часов 41 минуту после advisory, без публичного PoC. До этого так же ловили Langflow (20 часов) и Flowise. Окно на патч — часы, не дни.

Что сделать:

— обновить до 0.23.0 (всё ниже 0.20.4 уязвимо);
— не выставлять наружу: --host 127.0.0.1, за reverse proxy с auth;
— сканировать ML-инфру на предмет «внутренних» дашбордов на 0.0.0.0;
— ротировать ключи облаков и LLM-провайдеров, если инстанс хоть раз торчал в интернет.

📌 Подробнее: https://tproger.ru/news/marimo-rce-za-9-chasov-41-minutu-atakuyushhie-sobrali-eksplojt

MemOps 🤨

MemOps 😃

Reliability Engineering for Air-Gapped Systems

Советы и приемы для обхода труднодоступных средств мониторинга

📌 Подробнее: https://blog.alexewerlof.com/p/reliability-engineering-for-air-gapped

MemOps 🤨

Заключительная статья "Seccomp in K8s 3/3: Measuring, Scoring, and Scaling with Seccompute" о Seccomp в контексте цикла статей от Mark Manning.

Автор поднимает главный вопрос: как вообще понять, что ваш seccomp профиль «хороший», а не просто кажется таким. Он показывает, что без метрик и объективной оценки любые разговоры о безопасности остаются на уровне предположений.

В статье предлагается подход к измерению качества профилей: анализ покрытия syscalls, оценка избыточности и попытки формализовать «полезность» политики. На этом фоне появляется инструмент Seccompute, который помогает автоматически сравнивать и оценивать профили.

Ключевая идея — переход от ручного «тюнинга» к системному процессу с метриками, скорингом и возможностью масштабирования на уровне кластера.

📌 Подробнее: https://www.antitree.com/2026/04/seccomp-in-k8s-3/3-measuring-scoring-and-scaling-with-seccompute/

MemOps 🤨

MemOps 😃

Shell Tricks That Actually Make Life Easier (And Save Your Sanity)

Наблюдать за тем, как в остальном блестящий инженер шесть секунд подряд удерживает клавишу Backspace, чтобы исправить опечатку в начале строки, вызывает отчетливую, инстинктивную боль.

Все мы через это проходили. Мы осваиваем ls, cd и grep, а потом как бы… останавливаемся. Терминал становится местом, где мы живем, но мы редко утруждаем себя расстановкой мебели. Мы принимаем тот факт, что для выполнения определенных задач требуется сорок нажатий клавиш, совершенно не подозревая, что авторы командной оболочки решили именно нашу проблему где-то в 1989 году.

Вот несколько приемов, которые не совсем секретны, но и не всегда преподаются. Чтобы сохранить мир в нашей большой семье Unix, я разделил их на два лагеря: универсальные приемы, работающие почти в любой POSIX-подобной оболочке (например, sh в FreeBSD или ksh в OpenBSD), и улучшения качества жизни, специфичные для интерактивных оболочек, таких как Bash или Zsh.

📌 Подробнее: https://blog.hofstede.it/shell-tricks-that-actually-make-life-easier-and-save-your-sanity

MemOps 🤨

MemOps 😃

⌨️ Тут безопасники из Censys устроили глобальное сканирование всех IPv4 адресов и принесли занимательную некромантию. Выяснилось, что в апреле 2026 года в открытом интернете всё еще болтается почти 6 млн хостов с голой жопой, торчащей наружу через 21-й порт.

Протокол FTP (RFC 959). Возраст 55 лет. Создан в те благословенные времена, когда интернет был маленьким, все друг друга знали 🌻. Передает логины, пароли и данные кристально чисто и открыто. Пациент уже фактически мертв, так как индустрия давно переехала на SFTP (который подсистема SSH, а не FTP) или объектные хранилища. На практике - пациент пока жив.

Популяция хоть и сократилась на 40% за последние два года, но 6 миллионов открытых серверов - это сильно. В основном эпидемия поддерживается теми, кто покупает VPS с накатанным cPanel, где Pure-FTPd (1.99 млн хостов) и ProFTPD (812 тыс.) поднимаются по дефолту.

Настоящая археология начинается при детальном сканировании... найдено 1 744 сервера, на которых до сих пор крутится vsftpd версии 2.3.4. Олды могут пустят скупую слезу. Это та самая легендарная сборка из 2011 года, в исходники которой на SourceForge хакеры зашили бэкдор 🏴‍☠️. Если в качестве юзернейма отправить смайлик :), демон открывал рут-шелл на TCP-порту 6200. Жму руку тем, кто держит открыто уязвимость с бэкдором 15-летней давности. Пятнашка лет аптайма и патч-долга, Карл! 🥂

Самая эпичная часть отчета посвящена виндовым админам. Более 250 тысяч серверов крутят дефолтный Microsoft IIS FTP. В настройках IIS параметр controlChannelPolicy по дефолту выставлен в SslRequire. Админ смотрит в конфиг, видит, что TLS якобы принудительно включен, и идет пить пивчанский. НО! Параметр serverCertHash (привязка SSL-серта) по дефолту пустой 😶

Что делает IIS, когда к нему стучится клиент с командой AUTH TLS, но сертификата нет? Он выдает ошибку 534 Local policy on server does not allow TLS secure connections. Клиент думает... ну ок, раз TLS нельзя, давай по старинке... и отправляет пароль админа в открытом виде. Сервер его так же принимает! Более 150 000 серверов в мире прямо сейчас работают в режиме иллюзии безопасности... админы уверены, что включили FTPS, а по факту отдают данные в открытом виде.

Из 6 миллионов серверов около 2.45 млн ВООБЩЕ не умеют в TLS-хендшейк.

Резюме консилиума... в морг ⚰️

Типичный 🥸 Сисадмин

Доклады с KubeCon EU + CloudNativeCon 2026

Записи докладов с европейского KubeCon — 408 видео в этом плейлисте на YouTube. Есть короткие и длинные выступления.

Также есть записи с мероприятий:
📌 ArgoCon Europe 2026
📌 FluxCon Europe 2026
📌 Open Source SecurityCon 2026

MemOps 🤨

MemOps 😃

База безопасности Docker

1️⃣ Без root
Запускай с --user - если контейнер взломают, не получат доступ ко всей системе.

2️⃣ Никакого privileged
--privileged = полный контроль над хостом. Используй только если ОЧЕНЬ надо.

3️⃣ Закрывай лишние порты
Открывай только то, что реально используешь. Остальное - дыра.

4️⃣ Ставь лимиты
--memory и --cpus - чтобы один контейнер не убил весь сервер.

5️⃣ Read-only FS
--read-only - нельзя изменить файлы или подложить вредоносный код.

6️⃣ Запрет на повышение прав
--security-opt=no-new-privileges - процессы не смогут эскалировать доступ.

Главное правило:
контейнеру даёшь ровно столько прав, сколько нужно. Ни больше.

MemOps 🤨

MemOps 😃

Простой способ создавать свои DevOps-лабы

Примерно год iximiuz Labs поддерживает создание кастомных плейграундов: вы выбираете стандартную базу (Ubuntu-VM, Docker-хост, Kubernetes-кластер и т.д.) и донастраиваете её под свои задачи с помощью скриптов, похожих на cloud-init.

Подход хорошо себя зарекомендовал, таким образом было создано около 700 плейграундов. Но при всей "чистоте" скриптового провижининга у него есть и заметные минусы:

- Init-скрипты запускаются при каждом старте плейграундов, увеличивая time-to-prompt, иногда весьма существенно
- Некоторые задачи провижининга гораздо проще решать запуском shell-команд вручную (попутно чиня упавшие шаги)
- Некоторые "случайные" состояния VM имеет смысл сохранить как переиспользуемые кастомные плейграунды (но задним числом заскриптовать их уже нельзя)

К счастью, с появлением "persistent playgrounds" в ноябре стало возможным сохранять остановленный плейграунд как кастомный. При этом результат ничем не отличается от любого другого плейграунда: вы получаете read-only шаблон, который можно перезапускать сколько угодно раз, делиться им с другими или встраивать в туториалы, челленджи и уроки курсов. Магия 🧙

📌 Подробнее: https://labs.iximiuz.com/playgrounds

MemOps 🤨

MemOps 😃