VMware Workstation Pro стал бесплатен для персонального использования

Компания Broadcom, в ноябре прошлого года поглотившая бизнес VMware, изменила условия распространения VMware Workstation Pro, проприетарного программного комплекса виртуализации для рабочих станций, поставляемого для Linux и Windows.

Гипервизор VMware Workstation Pro теперь распространяется бесплатно при использовании в персональных целях (на официальной странице для загрузки требуется регистрация на сайте support.broadcom.com, но пакет можно загрузить напрямую).

Для коммерческого применения вместо покупки постоянной лицензии введена ежегодная подписка.

Прямая ссылка: https://softwareupdate.vmware.com/cds/vmw-desktop/ws/17.5.2/23775571/

​​Как установить DEB-пакет с учетом всех зависимостей

Администраторы часто сталкиваются с необходимостью установки отдельных DEB-пактов, которых нет в репозиториях. Чаще всего это коммерческий софт или отдельные пакеты, ради которых подключать репозиторий нет смысла.

Обычно для этих целей используют dpkg – низкоуровневый инструмент для управления пакетами:

dpkg -i package_name.deb

Но у этого способа есть один недостаток – dpkg не умеет работать с зависимостями. В большинстве случаев такой пакет останется ненастроенным и нам придется дополнительно выполнить для разрешения зависимостей:

apt install -f 

Но для чего «два раза вставать с дивана» если это можно сделать один раз? Для этого сразу используем для установки пакета apt. Он умеет не только работать с репозиториями, но и устанавливать предварительно скачанные пакеты.

Но есть одна тонкость – локальный пакет следует передавать всегда в виде пути, даже если он находится в текущей директории. Так если мы напишем:

apt install package_name.deb

То apt попробует найти указанный пакет в репозитории и ответит вам, что такого пакета не существует. Поэтому укажите абсолютный или относительный путь:

apt install ./package_name.deb

В этом случае apt поймет, что имеет дело с локальным пакетом и начнет его установку, предварительно проверив зависимости и при необходимости скачает и установит их.

Преимущество данного метода, в отличие от dpkg в том, что вы сразу видите весь набор зависимостей, которые будут установлены. А в случае, если разрешить зависимости не удастся, то вы узнаете об этом еще до попытки установки пакета.

​​Губит людей не пиво, губит людей вода

Многие коллеги уделяют много внимания безопасности периметра: закрывают порты через порт-кнокинг, переносят их на нестандартные номера, заворачивают трафик в VPN и т.д. и т.п.

Да, это все разумные предосторожности, но при этом часто забывают об ином. Самая серьезная опасность находится внутри периметра и имя ей – пользователь.

В отличие от технических средств защиты поведение пользователя часто нелогично и неправильно. Он может нарушать установленные правила как осознанно, так и по недомыслию.

И очень часто встречается ситуация, когда вы закрыли периметр так, что мимо ни мышь не проскочит, ни муха не пролетит, но самые разрушительные последствия происходят от действия пользователей внутри.

Существует целый ряд атак, нацеленный именно на пользователей и использующий их любопытство, неосмотрительность и иные не самые положительные качества. Чаще всего таким образом распространяются шифровальщики или происходит хищение учетных данных.

На этой неделе мы закончили расследование одного инцидента. Потерпевший – Windows Server 2008, даже без R2, наружу открыт RDP на стандартном порту, последние обновления ставились во времена царя Гороха. В одно не очень приятное утро оказалось, что весь сервер зашифрован.

Взломали? Вовсе нет. Все оказалось до банального просто. Пришло поддельное письмо с просьбой подтвердить аккаунт на Авито, иначе он будет заблокирован. Ссылка вела на фишинговый сайт, где для разблокировки предложили скачать некую анкету…

И, как вишенка на торте, произошло это все в терминальной сессии, с правами администратора.

А сервер был по совместительству еще и сервером 1С совмещенным с сервером СУБД. Хорошо хоть резервные копии делались, хотя и не часто.

И нет, данный пример не говорит о том, что можно смело продолжать эксплуатировать старые системы выставив их голым задом в интернет.

Но он наглядно показывает, что даже старую и уязвимую систему скорее сломают изнутри, чем снаружи.

Потому как одно дело грамотно развести пользователя и совсем другое – использовать для проникновения уязвимость. Немного разные скиллы требуются.

Поэтому пользователь был, есть и будет слабым звеном в системе безопасности и это нужно обязательно учитывать наравне с защитой периметра.

​​День пионерии

Молодому поколению этот праздник ничего не скажет, для них это история. А вот поколение постарше вспомнит его с теплом и ностальгией.

Сама пионерия не являлась каким-то уникальным явлением, молодежные организации были и есть во многих странах, включая современную Россию. Но при этом советская пионерия во многом от них отличалась.

С одной стороны, для советского ребенка не было альтернативы, потому что в пионеры брали всех, кроме двоечников и хулиганов. Но это и создавало определенную привлекательность, потому что не быть пионером — значит серьезно отбиться от коллектива и быть не таким как все.

Поэтому пионерами быть хотели, без всякого принуждения и пионерским галстуком гордились, многие ходили в пионерской форме не только в школу, но и в магазин за хлебом, особенно первое время после принятия.

И даже идеологическая составляющая, к которой на излете Союза даже дети относились скептически не подрывала привлекательности пионерии.

Потому как пионерия давала нечто большее: дружный коллектив, интересные активности, соревновательный дух. Чего стоил один только сбор макулатуры или иного вторсырья? Когда обязательно надо было утереть нос отряду из параллельного класса.

Пионерские лагеря – это отдельный разговор, открытие и закрытие смены у костра, ночные посиделки, зубная паста…

Были ли негативные стороны? Да, конечно, были, но в детстве они не выходили на первый план и быстро забывались. А сейчас и вовсе кажутся какой-то малозначащей ерундой.

Поэтому всех пионеров с праздником!

Будь готов! Всегда готов!
🫡🫡🫡

🚀 Узнайте, как обеспечить стабильность и доступность ваших приложений в Kubernetes с помощью Kube-prometheus-stack! 📊

🔍 Prometheus operator позволяет автоматизировать настройку и управление мониторингом, сосредотачиваясь на сборе метрик и оповещениях.

🎓 Приходите на 💥бесплатный открытый урок в рамках старта курса «DevOps практики и инструменты» и вы узнаете, как оптимизировать ресурсы с помощью Prometheus operator. А именно:
- установить и настроить Prometheus operator
- создать правила оповещения и получать уведомления о событиях в кластере
- визуализировать метрики с помощью Grafana

💡 Знание Prometheus operator поможет вам в обеспечении стабильности и доступности в Kubernetes.

👩‍💻👨‍💻 Этот урок полезен для администраторов Kubernetes, DevOps инженеров, архитекторов ПО, Java специалистов, системных администраторов и специалистов по безопасности.

➡️ Ссылка для регистрации: https://vk.cc/cwSOJS?erid=LjN8K7TqF

​​Действие JUMP и собственные цепочки в iptables и брандмауэре Mikrotik

Про то, как пакеты бегают по цепочкам брандмауэра, мы рассказывать не будем, это все знают, а если не знают, то перед тем, как читать эту заметку им следует ознакомиться с базовыми принципами работы iptables.

Сегодня мы поговорим о другом, а именно об оптимизации правил брандмауэра и снижении нагрузки. Особенно это актуально для недорогих роутеров, таких как Mikrotik, но не будет лишним и на любых других системах.

Как мы помним любой пакет попадая в цепочку iptables (а в Mikrotik тот же самый iptables) начинает движение по правилам последовательно, до первого совпадения критериев. Затем, если правило терминальное, он прекращает движение по цепочке и переходит в следующую.

А теперь представьте, что у вас в цепочке несколько десятков правил и пакет попадает под критерии условно 30-го. Перед этим он впустую пройдет предыдущие 29 попадая под все проверки и вызывая дополнительную нагрузку.

И чем больше у вас в цепочке правил, тем более высокой будет нагрузка, особенно если в правилах есть «дорогие» критерии.

Можно, конечно, оптимизировать расположение правил, чтобы дорогие проверки стояли после дешевых, но не всегда это возможно, а также не решает задачи холостого срабатывания цепочек.

И вот здесь нам на помощь придут цепочки собственные и действие JUMP, которое поможет нам перейти в эти цепочки.

А дальше довольно просто, прежде всего определяем группы правил, которые можно объединить по какому-либо общему критерию и выносим их в отдельную цепочку, а в основной цепочке делаем JUMP по срабатыванию на этот общий критерий.

Например, если из 30 правил мы выделим 5 групп по 5 правил, то у нас в основной цепочке их останется только 10 и пять из них будут гораздо более простыми. Таким образом пакет пройдет брандмауэр гораздо быстрее и с меньшей нагрузкой на оборудование.

После чего следует аналогичным образом вынести и тяжелые правила, разделив их на проверку по простым критериям, на основании которой будет переход в отдельную цепочку, где уже будем дополнительно проводить «дорогие» проверки.
С одной стороны, у нас вместо одного правила получается два, но по факту мы оказываемся в выигрыше, так как большая часть пакетов будет проходить проверку только по «дешевым» критериям, не вызывая проверку «дорогих».

Также имеет смысл выносить в отдельные цепочки логические группы правил, объединенные общим назначением, что не только уменьшит нагрузку, но и позволит более легко читать сложные конфигурации брандмауэра.

Количество пользовательских цепочек не ограничено, и работа с ними ничем не отличается от стандартных, при срабатывании правила пакет прекращает движение по цепочке и возвращается к месту вызова. Туда же он вернется если не сработало ни одно правило.

Вызывать собственную цепочку можно из любого места, даже из другой собственной цепочки. Это позволяет также упростить конфигурацию брандмауэра за счет повторного использования наборов правил для разных цепочек.

Практические примеры использования собственных цепочек и JUMP мы рассмотрим в следующей заметке.

​​Памяти много не бывает

Третьего дня вместе с одним хорошим знакомым подбирали ноутбук для удаленной работы жены. С одной стороны есть бюджет, с другой хотелки и это все нужно было привести к общему знаменателю.

В целом ничего сверхъестественного. Браузер, офис, удаленка, 1С плюс криптография, мессенджеры. Типично офисная машинка.

Бюджет позволял небольшой выбор, и знакомый остановился на двух конфигурациях: Core i5 и 8 ГБ оперативной памяти или Core i3 и 16 ГБ ОЗУ.

Помня, что серьезных вычислительных задач там не планируется, я предложил ему взять модель с 16 ГБ памяти. Потому что сегодня это нижняя планка объема оптимального для комфортной работы.

Про когда-то стандартные 4 ГБ сегодня и говорить не приходится, это будет вечный напряг в стиле «поработал и закрыл» и постоянный свопинг, хотя твердотельные накопители и смягчают негативный эффект.

Фактически нижняя планка – это 8 ГБ, но это сегодня бюджетный минимум. Сильно не развернешься. В общем знакомый подумал и взял i3 и 16 ГБ и не прогадал.

Вроде бы и ничего лишнего не запустили: браузер, 1С, мессенджеры, ЯндексДиск – а уже почти 10 ГБ использовано. Зато есть еще пространство по маневру и возможность комфортно работать.

В то время как более мощный процессор и 8 ГБ оперативки фактически оказались бы несбалансированной конфигурацией, и работа постоянно бы упиралась в своппинг и повторное извлечение данных из подкачки.

Приглашаем принять участие в баесплатном вебинаре на тему "Практический опыт внедрения и эксплуатации Tantor SE 1C"

Tantor Special Edition 1С - Высокопроизводительная СУБД со встроенными графическими инструментами управления и администрирования, оптимизированная для работы с решениями на платформе 1С:Предприятие 8.

На вебинаре познакомим с СУБД, ключевыми преимуществами и практическими кейсами использования.

⏰ Дата: 27.05.2024 в 11.00 по Москве

👉 Бесплатная регистрация

🎁 На вебинаре будет розыгрыш сувениров от Tantor!

​​Cобственные цепочки в iptables и брандмауэре Mikrotik. Практика.

Вчера мы говорили от том, для чего нужны собственные цепочки в брандмауэре, а сегодня посмотрим, как с ними работать на практике. Начнем с iptables.

Мы все привыкли к правилам вида:

iptables -A INPUT -i ens33 -s 192.168.0.0/24 -j ACCEPT

И не задумываемся что означает -j перед действием, а обозначает он -–jump – переход. Это стандартное действие брандмауэра и переход может быть выполнен как на встроенную цель – ACCEPT, DROP и т.д., так и на пользовательскую цепочку.

Однако далеко не все коллеги, особенно начинающие знают о такой тонкости и поэтому для переходов мы советуем использовать полный синтаксис и писать -–jump, а не -j.

А мы перейдем к практической цели, допустим мы хотим выборочно фильтровать ICMP трафик, поэтому делать это в основной цепочке нет никакого смысла, и мы создадим свою собственную.

Первичный критерий отбора прост – весь ICMP трафик заворачиваем в собственную цепочку:

iptables -A INPUT -p icmp -–jump ICMP

Затем добавляем правила в нашу новую цепочку, размещать мы их можем где хотим, имеет значение только порядок следования правил в цепочке. Это позволяет выделять такие блоки отдельно и тем самым увеличивать читабельность правил.

iptables -A ICMP  -p icmp --icmp-type 0/0  -j ACCEPT
iptables -A ICMP  -p icmp --icmp-type 8/0  -j ACCEPT
…
iptables -A ICMP  -j DROP

И уже в цепочке мы фильтруем правила по собственному усмотрению, в нашем примере мы разрешили эхо-запрос (тип 8, код 0) и эхо-ответ (тип 0, код 0).

Для Mikrotik все будет тоже самое, только с учетом синтаксиса ROS. Сначала заворачиваем весь интересующий нас трафик командой в свою цепочку:

add action=jump chain=input jump-target=ICMP protocol=icmp

А затем фильтруем его:

add action=accept chain=ICMP icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP icmp-options=8:0 protocol=icmp
…
add action=drop chain=ICMP

Обратите внимание, что последнее действие DROP мы выполняем без всяких критериев, потому как никакого другого трафика в нашей цепочке быть не может.

​​Небольшая подборка статей по Windows

В тему обсуждения вчерашней вечерней заметки предлагаем вам небольшую подборку статей.

Прежде всего снова вернемся к теме LTSB/LTSC которая не дает покоя многим:

🔹 Чем является и чем не является Windows 10 LTSB/LTSC

Затем второй актуальный вопрос – встроенное ПО из магазина. Почему-то у многих прямо-таки навязчивая идея по поводу его удаления и при этом часто используются радикальные методы:

🔹 Предустановленное ПО в Windows 10 - мифы и реальность

Также не будет лишним почитать про «легковесные» сборки, которые являются таковыми ровно до первого обновления и по факту способны доставить больше проблем, чем преимуществ:

🔹 Tiny 11 - дело ZverCD живет и торжествует

Ну и наконец, как собрать свой преднастроенный образ Windows 10 с нужным набором предустановленного ПО и настроенными плитками меню Пуск.

🔹 Создание образа Windows 10 с собственным набором предустановленного ПО и настройками меню Пуск

⬛️ Причина смерти в черном ящике: о crash dump, панике и продолжение следует

Crash dump, kernel dump, kernel core dump, core dump, dump — это всё разные названия одного и того же файла, который создается, когда ОС приходит в состояние паники. Уже давно при интерактивной инсталляции RHEL/CentOS/Rocky и других дистрибутивов сразу после завершения процесса нам предлагают сконфигурировать Kdump. Некоторые инженеры от предложения отказываются — и зря. Участок резервируемой памяти не такой уж и большой, а при паниках системы или же зависаниях возможность создать дамп критически важна. Возникают неприятные ситуации, когда этот файл просто необходим.

O сrashdump’е и о том, для чего Kdump в Linux, как его правильно готовить и как с минимальными затратами подготовить стенд для последующего анализа дампа — читайте в статье инженеров из «Инфосистемы Джет».

Для всех любителей местечкового MitM

Коллега сегодня половину дня потратил на то, чтобы разобраться что случилось с Proxmox. А с ним ничего не случилось, просто вчера он установил себе на новый рабочий ПК Касперского, который по умолчанию сует нос в защищенный трафик. И после молчит как пленный партизан.

​​Ноутбук «на вырост»

В обсуждениях недавней заметки столкнулись с мнением, что не следовало брать i3 с 16 ГБ вместо i5 с 8 ГБ, а следовало: взять в рассрочку, купить более мощный ноутбук и потом добавить памяти и ряд иных аналогичных предложений.

Поэтому мы решили сформулировать свой подход к этому вопросу. Сразу оговоримся, мы считаем ноутбук именно мобильным устройством, которое будет перемещаться со своим хозяином в отпуск и командировку, что предусматривает регулярную автономную работу.

А отсюда проистекает необходимость компромисса между вычислительной мощностью и автономностью. Плюс чисто пользовательские характеристики – такие как размеры и вес.

Поэтому вычислительной мощности в ноутбуке должно быть ровно столько, сколько вам нужно. Зачем покупать устройство с мощным процессором, если вы будете использовать его как печатную машинку?

Нет, крутые ядра под капотом, конечно, греют душу, но ровно до тех пор, пока у вас не возникнет нужда поработать в отрыве от розетки. Но это мелочи, важно другое.

Ноутбук, как и машина, покинув двери магазина сразу теряет в цене. По цене нового вы его уже не продадите. Поэтому актив, а ноутбук – это актив, должен работать и отрабатывать вложенные в него деньги.

При этом он очень быстро стареет морально, гораздо быстрее чем стационарные ПК. Поэтому смысла брать крутой и дорогой ноутбук «на вырост», надеясь, что его мощность когда-то вам понадобится – это просто неразумная трата средств. Проще говоря – деньги на ветер.

Поэтому, если для решения ваших задач достаточно Core i3, то смело берите Core i3, а оставшиеся деньги потратьте на что-нибудь полезное. Если через пару лет ваши задачи перерастут железо, то проще и разумнее будет купить новое.

Прогресс не стоит на месте и через одно-два поколения процессоры младшей линейки догоняют, а то и превосходят бывших флагманов.

Что касается апгрейда, то это еще более лишенное смысла занятие, особенно для простых пользователей, которые не являются специалистами по ремонту железа. Сегодня практически не осталось моделей ноутбуков, где память или диск можно легко снять, открыв специальную крышку.

Устройство придется разбирать и, хотя никаких пломб на них нет – это потенциально опасная операция. Неловкое движение, царапина, сломанная защелка – и все, гарантия резко заканчивается.

А если еще это будут делать в сервисе, то к стоимости железа на апгрейд прибавится стоимость работ. Если все это сложить, то проще будет сразу купить модель нужной конфигурации. Или трезво распорядиться доступным бюджетом.

Поэтому, выбирая себе мобильного помощника сразу определите круг задач и берите железо под них, без фанатизма. При этом сразу определяйте горизонт в 3-5 лет, на котором данная конфигурация будет более-менее актуальной, а потом потребует замены.

В нынешних реалиях на данном отрезке времени одинаково устареет и простая, и крутая конфигурация, только за последнюю вы заплатите лишние деньги и так и не воспользуетесь всеми ее преимуществами.

​​И снова про Неуловимого Джо

— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.

Недавно прошла новость - «почта для параноиков» ProtonMail сдал одного из своих пользователей полиции Испании, оперативно выдав интересующую их информацию.

Правоохранительные органы обратились к Proton в соответствии с европейскими законами о борьбе с терроризмом, так как пользователя подозревали в поддержке каталонской сепаратистской организации.

И это далеко не первый случай, еще в 2021 году Proton раскрыл IP-адреса сразу нескольких своих французских пользователей по запросу властей Франции. Они подозревала их в связях с экстремистским «зеленым» движением.

В свое «оправдание» ProtonMail вполне ожидаемо сказали, что они не могут игнорировать законодательство. Иного и быть не могло.

Все подобные сервисы, какую бы приватность и анонимность они не обещали – это в первую очередь бизнес. А задача любого бизнеса – это получение прибыли, а не благотворительность и борьба «за мир во всем мире».

Если пользователям можно продать «приватную» почту, то почему бы это и не сделать. Был бы спрос.

И даже можно в эту безопасность немного поиграть, отфутболивая некорректно составленные запросы участкового Васи из деревни Большие Бодуны или шерифа Джона из американской глубинки. Не более.

Серьезные проблемы с государством и тем более правоохранительными органами ни одному бизнесу не нужны. И если пользователь серьезно вляпался в криминал – то его сдадут как пустую посуду.

Поэтому не следует тешить себя иллюзиями, любой «приватный и анонимный» сервис будет оставаться таким строго до того, как на вас обратят внимание серьезные службы.

Вы можете подобным образом «шифроваться» от соседа, жены или любовницы, мифического «товарища Майора» и кота Толстопуза. И даже рассчитывать получить то, за что заплатили.

Хотя в этом случае самой лучшей защитой является принцип Неуловимого Джо, которого никто не ловит, так как он нафиг никому не нужен.

❓Хотите разобраться с регулярными выражениями для системного администратора Linux?

🎁  Ждём вас на бесплатно открытом практическом уроке от OTUS по Linux.
На уроке вместе с опытным экспертом:- различие вариантов регулярных выражений;- основной синтаксис шаблонов;- составление выражения для парсинга логов. 

💪 Спикер Николай Лавлинский — PhD Economic Sciences, опытный разработчик, автор курсов по администрированию и оптимизации веб-приложений, ведущий каналов «Ускорение сайтов» и «Поддержка сайтов». 

⏰ Встречаемся 27 мая в 19:00 мск в рамках курса «Administrator Linux. Professional». Все участники вебинара получат специальную цену на обучение! 

👉 Зарегистрируйтесь прямо сейчас, чтобы посетить бесплатный урок: https://otus.pw/b0bZ/?erid=LjN8Jwx7H 

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.