🐸 Библиотека devops'a

#пятничный_деплой

🔒 Безопасный контейнер

Запуск контейнеров с правами root считается плохой практикой безопасности, поскольку при компрометации процесса внутри контейнера злоумышленник получает расширенные права на хосте.

Чтобы минимизировать риски, всегда рекомендуется создавать в образе отдельного пользователя и запускать контейнер под ним.

Пример Dockerfile с запуском не от root:

FROM node:22

# Создаем пользователя appuser
RUN useradd -m appuser

# Переключаемся на пользователя appuser
USER appuser

CMD ["node", "server.js"]

Такой подход соответствует принципу наименьших привилегий и помогает защитить вашу систему от потенциальных угроз.

🐸 Библиотека devops'a

#root@prompt

🎆 Скоро Новый Год

А пока вспомним чем порадовала эта неделя.

— firewalld 2.4.0

— В хранилище Университета Юты нашли Unix

— MX Linux 25 «Infinity»

— State of DevOps Россия 2025

— Гибкий график не в вашу пользу

🐸 Библиотека devops'a

#дайджест_недели

🔍 Скрытые вакансии и булевый поиск

При поиске работы традиционные сайты подсовывают одни и те же вакансии большинству, но есть способ выйти из этого круга. Булевый поиск — это работа с логическими операторами, которые помогут отсеять лишнее и найти менее заметные, но важные вакансии.

Это метод работает на LinkedIn, Хедхантере, Гитхабе и даже через Google, помогая видеть вакансии, которые обычным поиском не найти.

➡️ Найдите вакансии, которые скрыты от других

🐸 Библиотека devops'a

⚡️ Ubuntu 25.10 перешла на sudo-rs

В Ubuntu 25.10 появилась новая версия sudo — sudo-rs, полностью переписанная на языке Rust. Эта замена призвана повысить безопасность и устойчивость инструмента.

Но в sudo-rs нашли и быстро исправили несколько уязвимостей, связанных с обработкой паролей и таймаутами

Несмотря на то, что Rust существенно снижает риски, связанные с использованием памяти, проект не застрахован от ошибок — и своевременное обнаружение и исправление критичны.

Хотя sudo-rs ещё молодой проект, и его безопасность улучшается вместе с развитием, переход на Rust уже помог значительно минимизировать классические ошибки C в sudo — уязвимостей стало существенно меньше по сравнению с оригинальной реализацией.

➡️ Источник

🐸 Библиотека devops'a

#пульс_индустрии

⚙️ Цепочка команд для перемещения файлов

Автоматизация пересортировки файлов в Linux нередко сталкивается с проблемами имен с пробелами. Самый надежный способ — использовать find с -print0 и xargs с -0.

Пример команды для перемещения всех файлов с расширением .log из указанного каталога в другую директорию:

find /path -maxdepth 1 -type f -name '*.log' -print0 | xargs -0 -I{} mv -- "{}" /archive/logs/

Опция -print0 у команды find выводит имена файлов, разделённые нулевым символом, а xargs с -0 принимает именно такой формат.

Можно использовать аналогичный приём и для переноса логов конкретного приложения:

find /var/log/myapp -type f -name 'myapp-*.log' -print0 | xargs -0 -I{} mv -- "{}" /backups/logs/

Перед применением стоит проверить корректность поиска, выполнив команду find без части с xargs и mv, чтобы убедиться, что выбраны именно нужные файлы.

🐸 Библиотека devops'a

#root@prompt

🔄 Nitrux 5.0.0 — новая эра с Hyprland и безопасностью

Вышла версия Nitrux 5.0.0 с масштабными изменениями и переосмыслением философии дистрибутива. Теперь Nitrux полностью перешёл с KDE Plasma на Hyprland — современный динамический Wayland-композитор.

Помимо нового рабочего стола, обновлён широкий набор компонентов: OpenRC заменяет устаревшие SysV скрипты, NetworkManager, Pipewire, Flatpak, Calamares и многое другое получили обновления.

➡️ Release notes

🐸 Библиотека devops'a

#пульс_индустрии

🗺 Bash с нуля до профи

На roadmap.sh появилась новая роадмапа по Shell и Bash.

Подойдет как новичкам, так и тем, кто хочет систематизировать знания и прокачать навыки работы с Linux-системами и терминалом.

Отличный план на 2026 год, чтобы стать уверенным пользователем командной строки.

➡️ Полная роадмапа

🐸 Библиотека devops'a

#архитектура_на_салфетке

Успей зарегистрироваться на масштабный ИТ-фест от МТС 🔥

21 ноября на True Tech Champ тебя ждет насыщенный день со зрелищной битвой роботов, нетворкингом и прокачкой навыков.

В программе:

📝 Доклады о ИИ-технологиях. Специалисты MWS AI, Skoltech, Яндекса и Unitree Robotics расскажут о трансформерах для управления автомобилями, работе с RAG-системами и физическими агентами.
📝 Воркшоп по работе с ИИ-агентами от канадского разработчика и автора книги AI Agents in Action Майкла Ланэма.
📝 Воркшоп по разработке игр с помощью AI плагина MWS DevTools Agent.
🛻 Шоу-битва роботов. Камеры от первого лица, профессиональные комментаторы создадут вайб больших видов спорта. На огромных экранах МТС Live Холл ты увидишь, как роботы будут проходить 3 уровня препятствий: запутанные лабиринты, офф-роад маршруты, парящие платформы — и сразятся в битве на выживание.


◻️ 20+ площадок с активностями. Попробуй родео и оседлай механического быка, пройди лазерный лабиринт, как настоящий спецагент, выведи на ринг своего робопаука и протестируй другие ИТ-челленджи.
🔴 В завершение дня — афтепати со звездным хедлайнером.

Фестиваль бесплатный, он пройдет 21 ноября в Москве и онлайн.
Смотри подробную программу на сайте и регистрируйся — количество мест ограничено.

✏️ Быстрая замена текста во множестве файлов с бекапом

Когда нужно заменить строку сразу во многих конфигурационных файлах, поможет команда на базе sed:

sed -i.bak 's/OLD_STRING/NEW_STRING/g' **/*.conf

В этом примере происходит поиск и замена OLD_STRING на NEW_STRING во всех файлах с расширением .conf в текущей папке и её подпапках.

К каждой отредактированной версии файла добавляется резервная копия с расширением .bak, чтобы можно было быстро восстановить оригинал.

Пример использования для обновления IP-адреса:

sed -i.bak 's/10.0.0.1/10.0.0.2/g' /etc/myapp/**/*.conf

Совет: протестируйте команду на одном файле перед массовым изменением, чтобы избежать ошибок.

🐸 Библиотека devops'a

#арсенал_инженера

🔄 RHEL 10.1: локальный AI-помощник и поддержка AI-ускорителей

Red Hat выпустила обновление Red Hat Enterprise Linux. Главная новость — локальный AI-помощник для командной строки теперь работает полностью оффлайн.

Помощник дает рекомендации по установке RHEL, решению проблем и другим задачам, но требует подписку Red Hat Satellite. Кроме того, расширена контекстная память помощника с 2 КБ до 32 КБ — теперь он может работать с большими лог-файлами и сложными запросами.

Второе важное улучшение — встроенная поддержка AI-ускорителей. Red Hat добавила в репозитории проверенные драйверы для GPU, TPU и специализированных микросхем от NVIDIA, AMD и Intel. Железо для AI развивается быстро, и иметь проверенные, работающие с RHEL драйверы в привычных репозиториях экономит время.

Также добавили мягкие перезагрузки для image mode. Обновлены популярные инструменты разработки: Go 1.24, LLVM 20, Rust 1.88, GCC 15, .NET 10 и Node.js 24. Усилена безопасность через поддержку постквантовой криптографии в TLS и добавлена поддержка TPM на облачных платформах.

➡️ Блог разработчиков

🐸 Библиотека devops'a

#пульс_индустрии

🖥 Топ-вакансий для девопсов за неделю

DevOps-инженер до 400 000 ₽

Senior DevOps-инженер до 400 000 ₽

DevOps-инженер от 250 000 ₽

Middle/Senior DevOps Engineer от 300 000 ₽

➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs

🐸Библиотека devops'a

#вакансия_недели

😵‍💫 Усиль свои позиции на собесе в Data Science знаниями математики!

Чем важна математика расскажет Мария Тихонова - кандидат компьютерных наук, руководитель исследовательского направления SberAI, доцент факультета компьютерных наук и преподаватель НИУ ВШЭ на курсе «Математика для Data Science» от Proglib Academy.

👀 Мария - человек, который реально работает с LLM и делает так, чтобы модели понимали человеческую речь, а не делали вид.

📌 Добавь в свое портфолио проект, выделись среди конкурентов

Курс предусматривает выполнение практического проекта с фидбеком от экспертов. За проект можно взять темы:
• обучите градиентный спуск для предсказания цен на квартиры
• создадите классификатор тональности или тематики текста
• построите простую рекомендательную систему на матричных разложениях

Бонусы:
- скидка 40% до 30 ноября
- если оплатить до конца ноября, получите курс «Базовая математика» в подарок

➡️ Пройти бесплатный тест на знание математики

👇👇👇
Записаться на курс

⚡️ Почему у Cloudflare опять переполох

Вчера Cloudflare пережил значимый инцидент, который показал, как мелкая оплошность в базе данных может привести к остановке сети.

Изменение в правах ClickHouse позволило сгенерировать слишком большой файл конфигурации для Bot Management, из-за чего система достигла лимитов и перестала корректно работать.

Особенность сбоя — частая переотправка файла с дефектами. Это создавало эффект качелей: сеть то падала, то частично восстанавливалась, усложняя диагностику. Первоначально команда даже подумала о DDoS-атаке — настолько непредсказуемо менялась картина.

В итоге инженерам пришлось вручную остановить генерацию новых конфигураций и откатить к проверенной версии.

➡️ Ответ от Cloudflare

🐸 Библиотека devops'a

#разбор_полётов

👨‍💻 Как отправить парсер в ловушку

Боты постоянно сканируют сайты: воруют контент, собирают данные, съедают трафик. Обычные методы блокировки: robots.txt или rate limiting работают только если бот их соблюдает. Хитрые скреперы игнорируют правила и продолжают атаковать.

Что делает honeypot

Это ловушка для автоматических парсеров. Вы создаете поддельный путь, который выглядит привлекательно для бота, но на самом деле ведет в тупик. Когда бот попадает туда, вы можете его заблокировать, замедлить или собрать информацию о типе атаки.

Пример конфига nginx:

location /admin-backup/ {
    return 301 https://example.com/huge-file.bin;
    limit_except GET { deny all; }
}

location /wp-admin.php {
    return 301 https://example.com/trap.bin;
}

location /*.sql {
    return 301 https://example.com/50gb.iso;
}

Бот находит ссылку на /admin-backup/ в исходном коде или гадает пути. Nginx перенаправляет его на огромный файл. Бот начинает скачивать, думая, что нашел ценный контент. Ресурсы бота забиваются, его IP можно заблокировать

Расширенный вариант с логированием:

location ~ \.(sql|bak|backup)$ {
    access_log /var/log/nginx/honeypot.log;
    return 301 https://example.com/decoy.bin;
}

Логируйте попадания в ловушку — так вы увидите, какие пути парсят боты, и сможете их блокировать на уровне firewall или fail2ban.

🔹 Практический интенсив «Архитектуры и шаблоны проектирования»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека devops'a

#root@prompt

🔄 Traefik 3.6.0: TCP health checks, новый балансировщик нагрузки и поддержка Knative

Вышло обновление Traefik. Главные новости — поддержка TCP health checks, пассивные health checks и новый алгоритм балансировки нагрузки HighestRandomWeight.

Для Kubernetes добавили поддержку Knative — теперь Traefik может автоматически обнаруживать и маршрутизировать трафик к serverless-приложениям.

На уровне маршрутизации появилась «multi-layer routing» — это позволяет применять более сложные правила маршрутизации. Для ACME добавили новые опции для управления сертификатами. Docker-провайдер теперь может обнаруживать контейнеры, которые не запущены.

Если вы используете Traefik, обязательно прочитайте гайд по миграции перед обновлением.

➡️ Release 3.6.0

🔹 Основы IT для непрограммистов
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека devops'a

#пульс_индустрии