Контроль доступа на основе ролей (RBAC) что об этом думают в Tailscale, но про их реализацию в самом конце. В основном это сравнение и описание принципов построения различных концепций контроля доступа, их реализация в существующих решениях, шаг за шагом приближаясь к описываемой системе. Хорошая и длинная статья по теме, если никогда не интересовались этим раньше.

RSA/SHA1 теперь будет отключен по умолчанию в OpenSSH для генерации сигнатур, возможность включить обратно останется. Ключи это не затронет.

За кулисами индийского Интернет провайдера не самая радужная картина. С нашими реалиями не сравнить, у нас много лучше, хотя аналогии можно попытаться поискать.

Вы же не забываете включать IPv6 в Docker?

Мой друг подкинул мне ссылку про проклятое современное ПО - sad but true, такова реальность. Надо было слушать товарища Столлмана, а не считать его борцом с ветряными мельницами, так что во многом это то что мы сами и построили. А 20-25 лет назад можно было посмеиваться над загнивающим западом качая варез с BBS и покупать пиратские диски со 100500 программами на все случаи жизни, и не иметь ни одной не сломанной, включая WinRAR. А теперь, теперь мы сами себе не принадлежим. Пойду, наверное, пересмотрю Revolution OS, для вдохновения.

Когда-нибудь BGP таки разжалуют из протоколов маршрутизации, а пока читаем новый RFC9107 призванный улучшить RR за счёт знаний внутренних метрик IGP.

RFC9109 где NTP теперь будет использовать разные порты если работает в режиме клиента, а не только 123. И это реально большая проблема, потому что NTP - везде, каждая безделушка держит у себя клиента, упустим тот факт что не всегда корректно настроенного, что позволяет его использовать как очень удобный амплификатор для DDoS. Поэтому, основываясь, как раз на том факте что NTP это src udp 123 можно красиво загнать весь такой трафик в небольшой PAT, не рандомизировав, но хотя бы перемешав порты. Теперь, в ближайшем времени, сами клиенты так смогут и это хорошо.

А ещё один RFC791 вчера скромно отметил свой юбилей. Несмотря на возраст используется всеми и на покой не собирается, хотя вроде и преемник есть.

Если не видели Eltex CLI изнутри, что называется сравните с Cisco. Но на самом деле все видимые отличия лежат как раз в настройках маршрутизации в статье не затронутой. Есть отдельная от interface vlan сущность interface ip, где, например, настройка OSPF cost для 15 вилана из статьи выглядит вот так:

interface ip 192.168.2.21
ip ospf cost 10

Однако, та же настройка в OSPFv3 будет уже внутри interface vlan:

interface vlan 15
ipv6 ospf cost 10

Всё согласно документации. На других модельках формат команд может немного отличаться, так что обращайте на это внимание.

К ACL тоже придётся привыкать, показанный в статье management ACL отличается от того который используется для пакетного фильтра. Вот правило для пропуска любых TCP ACK из 10.0.0.0/8:

permit tcp 10.0.0.0 0.255.255.255 any any any match-all +ack ace-priority 10

Указание source и destination портов наравне с подсетями обязательно, в данном примере - any. Порядковый номер правила ace-priority находится в конце строки.

Есть, конечно, и другие мелочи, но в целом пользоваться можно. В своё время они оставили мне очень положительные впечатления.

Если вдруг пропустили - монтаж Ethernet кабеля снаружи МКС и видео.

Сегодня было бы 80 лет со дня рождения Денниса Ритчи одного из изобретателей современного мира. Это та История которую мы застали и которую смогли ощутить.

С 256 днём года всех программистов, c 0x100 - всех системных программистов и с 0FFh - всех настоящих программистов. Кто хоть раз в жизни написал что-то на любом из многочисленных языков программирования тоже с праздником.

По случаю этого события смотрим на шпаргалки MySQL, читаем их беглый обзор и пишем лучший код в этом году, которого как известно не существует.

Калькулятор IPv6 сетей. Что, зачем и почему в блоге 6connect.com.

В начале сентября была зафиксирована крупнейшая DDoS атакак на уровне L7.
Информация от Яндекс и Qrator Labs.

Пишут про новый ботнет Mēris (по-латышски «чума»).

Исследователи из Яндекс и Qrator Labs считают, что ботнет состоит, в основном, из устройств на ОС RouterOS, при это версии RouterOS различные, вплоть до последних стабильных версий.

Предполагается наличие новой уязвимости.
——
По информации от MikroTik уязвимость, которую можно использовать "для захвата" роутера исправили ещё в 2018 году.

Вероятно, атакующие устройства были "захвачены" ещё до устранения уязвимости.
Новые версии RouterOS могут говорить о том, что злоумышленники обновляют "захваченные" устройства, для исключения "захвата" конкурентами.

Какого-либо подтверждения наличия уязвимости в актуальных версиях RouterOS нет.

Официальная новость на сайте MikroTik о ботнете Mēris
https://blog.mikrotik.com/security/meris-botnet.html

Рекомендуется проверить, что ваше устройство не используется кем-то ещё.

Если вы плохо знакомы с MikroTik RouterOS, достаточно:
0️⃣) Сохранить конфигурацию:

/system backup save
/export file=my-router-export.rsc

Обязательно скачать файлы с роутера на компьютер!
1️⃣) Обновить версию RouterOS до последней Stable (6.48.4) или Long-term (6.47.10)

/system package update
set channel=long-term
check-for-updates
install

2️⃣) Сбросить устройство

/system reset-configuration

3️⃣) Настроить устройство заново, можно использовать приложение для смартфона или QuickSet.

Если вы имеете опыт работы с оборудованием MikroTik для исключения использования устройства злоумышленником рекомендуем проверить следующее:
1️⃣) Сервис SOCKs-прокси выключен (если вы не используете его осознанно).

/ip socks set enabled=no

2️⃣) В планировщике отсутствуют подозрительные (не знакомые вам) задания.
Если вы не используете планировщик, выключите все скрипты:

/system scheduler disable [find]

3️⃣) Выключите неиспользуемые сервисы управления устройством (как правило, FTP, TELNET и API используются редко):

/ip service
disable telnet
disable ftp
disable api
disable api-ssl

4️⃣) Отсутствуют "чужие" (не знакомые вам) учётные записи.
Выключите или ограничьте "лишние" учётные записи.

/user
print
disable homyak
set cow group=read

Не рекомендуется использовать в качестве username стандартные названия (admin, root, support, ...).
5️⃣) Проверьте кто, откуда и как заходил на ваше устройство:

/log print where topics~"account"

При наличии подозрительных входом (или просто в профилактических целях) — смените пароли.
Помните, что через SSH также можно авторизоваться ключом, проверьте наличие неизвестных ключей:

/user ssh-keys print

6️⃣) Проверьте отсутствие NAT правил, перенаправляющий трафик на внешние ресурсы.
Например, мы встречали на устройствах с учётной записью admin без пароля такие правила, появляющиеся без нашего участия:
/ip firewall nat
add action=dst-nat chain=dstnat comment=bitcoin dst-address-list=bitcoin dst-port=!80,23,8291,64444,8080 protocol=tcp to-addresses=103.145.13.30 to-ports=3333
7️⃣) Проверьте отсутствие VPN-туннелей, которые вы не настраивали.
Если вы не подключаетесь к вашему роутеру по VPN, убедитесь, что все VPN-сервисы выключены:

/interface
l2tp-server server set enabled=no
pptp-server server set enabled=no
sstp-server server set enabled=no
ovpn-server server set enabled=no

Если вы не подключаетесь с вашего роутера к VPN, убедитесь, что роутер не устанавливает VPN подключения:

/interface
l2tp-client print
ovpn-client print
pptp-client print
sstp-client print

8️⃣) Проверьте настройки Firewall.
Разрешать доступ к портам управления роутера со внешних сетей, даже если порт управления изменён — плохая практика

Почему-то я рад, наверное, не меньше чем bobuk, хотя и знал что эта среда ещё живёт и даже пользовался и админил её уже в эпоху Embarcadero.

Новость малозначимая но почему-то меня повергла в трепет - вышла Delphi 11. Да, Дельфи еще существует и на нем все еще пишут, компания Embarcadero все еще выпускает новые версии. С 1986 года Дельфи существует и все еще радует своих потребителей, я не знаю точно, но возможно это рекорд по долгожительству среди таких комплексных сред https://blogs.embarcadero.com/announcing-the-availability-of-rad-studio-11-alexandria/

Фоточки живой, настоящей кабельной инфраструктуры на Хабр с небольшим описанием этого хозяйства, не ужас-ужас, а совсем обычные, тем и ценны. Лучше бывает, но не часто, а вот хуже гораздо чаще.