⌨️ Тут безопасники из Censys устроили глобальное сканирование всех IPv4 адресов и принесли занимательную некромантию. Выяснилось, что в апреле 2026 года в открытом интернете всё еще болтается почти 6 млн хостов с голой жопой, торчащей наружу через 21-й порт.

Протокол FTP (RFC 959). Возраст 55 лет. Создан в те благословенные времена, когда интернет был маленьким, все друг друга знали 🌻. Передает логины, пароли и данные кристально чисто и открыто. Пациент уже фактически мертв, так как индустрия давно переехала на SFTP (который подсистема SSH, а не FTP) или объектные хранилища. На практике - пациент пока жив.

Популяция хоть и сократилась на 40% за последние два года, но 6 миллионов открытых серверов - это сильно. В основном эпидемия поддерживается теми, кто покупает VPS с накатанным cPanel, где Pure-FTPd (1.99 млн хостов) и ProFTPD (812 тыс.) поднимаются по дефолту.

Настоящая археология начинается при детальном сканировании... найдено 1 744 сервера, на которых до сих пор крутится vsftpd версии 2.3.4. Олды могут пустят скупую слезу. Это та самая легендарная сборка из 2011 года, в исходники которой на SourceForge хакеры зашили бэкдор 🏴‍☠️. Если в качестве юзернейма отправить смайлик :), демон открывал рут-шелл на TCP-порту 6200. Жму руку тем, кто держит открыто уязвимость с бэкдором 15-летней давности. Пятнашка лет аптайма и патч-долга, Карл! 🥂

Самая эпичная часть отчета посвящена виндовым админам. Более 250 тысяч серверов крутят дефолтный Microsoft IIS FTP. В настройках IIS параметр controlChannelPolicy по дефолту выставлен в SslRequire. Админ смотрит в конфиг, видит, что TLS якобы принудительно включен, и идет пить пивчанский. НО! Параметр serverCertHash (привязка SSL-серта) по дефолту пустой 😶

Что делает IIS, когда к нему стучится клиент с командой AUTH TLS, но сертификата нет? Он выдает ошибку 534 Local policy on server does not allow TLS secure connections. Клиент думает... ну ок, раз TLS нельзя, давай по старинке... и отправляет пароль админа в открытом виде. Сервер его так же принимает! Более 150 000 серверов в мире прямо сейчас работают в режиме иллюзии безопасности... админы уверены, что включили FTPS, а по факту отдают данные в открытом виде.

Из 6 миллионов серверов около 2.45 млн ВООБЩЕ не умеют в TLS-хендшейк.

Резюме консилиума... в морг ⚰️

Типичный 🥸 Сисадмин

Доклады с KubeCon EU + CloudNativeCon 2026

Записи докладов с европейского KubeCon — 408 видео в этом плейлисте на YouTube. Есть короткие и длинные выступления.

Также есть записи с мероприятий:
📌 ArgoCon Europe 2026
📌 FluxCon Europe 2026
📌 Open Source SecurityCon 2026

MemOps 🤨

MemOps 😃

База безопасности Docker

1️⃣ Без root
Запускай с --user - если контейнер взломают, не получат доступ ко всей системе.

2️⃣ Никакого privileged
--privileged = полный контроль над хостом. Используй только если ОЧЕНЬ надо.

3️⃣ Закрывай лишние порты
Открывай только то, что реально используешь. Остальное - дыра.

4️⃣ Ставь лимиты
--memory и --cpus - чтобы один контейнер не убил весь сервер.

5️⃣ Read-only FS
--read-only - нельзя изменить файлы или подложить вредоносный код.

6️⃣ Запрет на повышение прав
--security-opt=no-new-privileges - процессы не смогут эскалировать доступ.

Главное правило:
контейнеру даёшь ровно столько прав, сколько нужно. Ни больше.

MemOps 🤨

MemOps 😃

Простой способ создавать свои DevOps-лабы

Примерно год iximiuz Labs поддерживает создание кастомных плейграундов: вы выбираете стандартную базу (Ubuntu-VM, Docker-хост, Kubernetes-кластер и т.д.) и донастраиваете её под свои задачи с помощью скриптов, похожих на cloud-init.

Подход хорошо себя зарекомендовал, таким образом было создано около 700 плейграундов. Но при всей "чистоте" скриптового провижининга у него есть и заметные минусы:

- Init-скрипты запускаются при каждом старте плейграундов, увеличивая time-to-prompt, иногда весьма существенно
- Некоторые задачи провижининга гораздо проще решать запуском shell-команд вручную (попутно чиня упавшие шаги)
- Некоторые "случайные" состояния VM имеет смысл сохранить как переиспользуемые кастомные плейграунды (но задним числом заскриптовать их уже нельзя)

К счастью, с появлением "persistent playgrounds" в ноябре стало возможным сохранять остановленный плейграунд как кастомный. При этом результат ничем не отличается от любого другого плейграунда: вы получаете read-only шаблон, который можно перезапускать сколько угодно раз, делиться им с другими или встраивать в туториалы, челленджи и уроки курсов. Магия 🧙

📌 Подробнее: https://labs.iximiuz.com/playgrounds

MemOps 🤨

MemOps 😃

Zerobyte - инструмент автоматизации резервного копирования, который помогает сохранять данные в нескольких хранилищах. Он создан на основе Restic и предоставляет современный веб-интерфейс для планирования, управления и мониторинга зашифрованного резервного копирования вашего удаленного хранилища.

Возможности:
— автоматизированное резервное копирование с политиками шифрования, сжатия и хранения на базе Restic
— гибкое планирование для автоматизированных заданий резервного копирования с детальными политиками хранения
— сквозное шифрование, гарантирующее постоянную защиту ваших данных
— поддержка нескольких протоколов: резервное копирование из NFS, SMB, WebDAV или локальных каталогов

📌 Подробнее: https://github.com/nicotsx/zerobyte

MemOps 🤨

MemOps 😃

MemOps 😃

Terraform Tips from the IaC Trenches

После нескольких лет написания модулей Terraform с открытым исходным кодом я освоил несколько синтаксических приемов, которые делают код более безопасным, чистым и простым в сопровождении.

📌 Подробнее: https://rosesecurity.dev/2025/12/04/terraform-tips-and-tricks.html

MemOps 🤨

MemOps 😃

How We Manage Domain and DNS Management with Infrastructure as Code

После успешного внедрения Terraform для управления репозиториями GitHub, следующий шаг в нашем развитии по концепции «инфраструктура как код» (IaC) стал очевиден: протестировать собственный продукт и управлять доменами и зонами DNS с помощью провайдера Terraform DNSimple.

📌 Подробнее: https://blog.dnsimple.com/2025/11/managing-domains-terraform-dnsimple

MemOps 🤨

MemOps 😃

otel-front

Легковесный, единый исполняемый файл OpenTelemetry для локальной разработки. Визуализируйте трассировки, журналы и метрики ваших приложений, использующих мониторинг — без Docker, баз данных и сложной настройки.

📌 Подробнее: https://github.com/mesaglio/otel-front

MemOps 🤨

MemOps 😃

На портале iximiuz.labs вышли туториалы по наблюдаемости и развертыванию

Теодор Джеймс Подобник представил пошаговый план по перенаправлению трафика на под с использованием eBPF. Ускоритель eBPF решает проблему сниженной пропускной способности и задержки при использовании Envoy-прокси. Инструкция и детали – тут. А Паша Сведерски и Антон Овчинников пошагово объяснили, как из директория ~/app с готовыми файлами Docker и yaml выполнить uc deploy и «докеризировать» Django с использованием Uncloud. Туториал оставили – здесь.

MemOps 🤨

MemOps 😃

DevExtreme — это готовый к использованию корпоративный набор мощных и привлекательных компонентов пользовательского интерфейса для популярных интерфейсных фреймворков: Angular, React, Vue и jQuery.

Компоненты DevExtreme адаптивны и доступны. Они хорошо работают на разных устройствах, с экранами разных размеров и при использовании разных способов ввода.

Независимо от того, использует ли ваша целевая аудитория телефоны, ПК или программы для чтения с экрана, компоненты DevExpress справятся с задачей.

📌 Подробнее: https://github.com/DevExpress/DevExtreme

MemOps 🤨

MemOps 😃

scion

Запускайте несколько агентов параллельно — каждый в собственном контейнере, со своим рабочим пространством, одновременно работая над вашим кодом или файлами проекта.

📌 Подробнее: https://github.com/GoogleCloudPlatform/scion

MemOps 🤨