Покупатели проходят мимо, выбирают пуховики... А могли бы выбрать Load Optimized Defaults и сделать мир чуточку стабильнее.
#предложка

Типичный 🥸 Сисадмин

Решил на всякий случай пробить юзернейм канала... чисто.

А вот по запросу sysadmin найдено аж 3 совпадения...
Видимо, кого-то всё-таки возили на частный остров, походу даже там нужно было срочно пропатчить KDE под FreeBSD 🤙

Типичный 🥸 Сисадмин

В файлах Эпштейна нашли справочник Bash на 158 страниц. Вот и думайте...

Linux / Линукс 🥸

⌨️ ФСТЭК выпустила гайд по защите VMware. В 2026 году. Похоже, импортозамещение немного затянулось.

Федеральная служба по техническому и экспортному контролю внезапно выкатила рекомендации по безопасной настройке виртуальной инфраструктуры на базе VMware. Тот факт, что на дворе 2026 год, а Broadcom (владелец VMware) ушел из России в марте 2022, уже никого не смущает 👨‍🦳

Документ, кстати, толковый. Никакой воды, а только суровый харднинг. Ниже вычленил ключевые требования, которые теперь станут обязательными для КИИ:

🟢Нужен тотальный логгинг... Необходимо настроить отправку Syslog на удаленный сервер (TCP 514). Хранить логи локально - завязывайте. Прямо указано мониторить /var/log/shell.log и /var/log/auth.log на предмет выполнения команд типа sudo ./encryptor (на чек шифровальщиков).

🟢Запрет на запуск левого кода... Требуется включить режим execInstalledOnly и Secure Boot через TPM. Если VIB-пакет не подписан сертификатом VMware, то он не должен запуститься. Это реально мощная защита от малвари, которая пытается пролезть в гипервизор 👍

🟢Доступ по SSH для root должен быть выпилен (esxcli system ssh set --enabled=false). Если очень надо, то только по ключам и с тайм-аутом сессии.

🟢Правило 3-2-1 теперь закон... Регулятор официально требует хранить три копии данных на двух разных носителях, и одну копию - в изолированном сегменте. Наконец-то здравый смысл победил экономию на дисках 🎩, можно смело показывать это требование руководству.

А на вкусное - самый смешной пункт с требованием осуществлять регулярные обновления ПО. Как именно обновлять ESXi, который нельзя скачать без VPN и действующего контракта, ФСТЭК тактично умалчивает... Видимо, подразумевается метод Parallel Import & Torrent Edition 😂

В общем, если у вас в контуре до сих пор крутится Сфера... ой, простите 😬, vSphere 7.0 или 8.0, то смело забирайте документ в работу. Там есть готовые команды для esxcli, чтобы закрыть периметр.

Типичный 🥸 Сисадмин

Одно из немногих уведомлений, которое вызывает улыбку, а не микроинсульт 🏥

Типичный 🥸 Сисадмин

Когда прораб прислал толкового помощника побыстрее расшить кросс 🦥

🥸 @montajniklvs

Microsoft шесть раз пытались сделать виджеты, и только сейчас, кажется, разобрались 🥹

Павел Осадчук из XacPC Dev Labs копнул историю виджетов и насчитал целых шесть попыток внедрения интерактивных плиток в Windows за последние 30 лет. Каждый раз всё разбивалось о суровую реальность, то железо не тянет, то хакеры ломают, то пользователи просто не понимают, зачем им это нужно.

Всё началось в 1997 году с Active Desktop в IE 4.0. Идея была революционной, превратить рабочий стол в живой веб-сайт. Но на практике Pentium II захлебывался, пытаясь отрендерить HTML вместо обоев, а падение виджета роняло весь проводник в экран смерти. Потом была Vista с её боковой панелью и гаджетами, которые жрали оперативку как не в себя и были дырявыми, как дуршлаг.

Затем пришли живые плитки в Windows 8, которые никто не любил, потому что ради прогноза погоды нужно было открывать полноэкранное меню. Cortana пыталась быть полезной, но слишком много знала о пользователе, и её отключили.

Только к 2026 году, спустя шесть неудачных итераций, Microsoft, кажется, нащупала дзен. Переход с прожорливого WebView2 на нативный WinUI 3 сотворил чудо, панель виджетов перестала весить сотни мегабайт и тормозить систему. Теперь карточки погоды, пробок и акций живут в песочнице, не угрожая безопасности, и умеют показываться даже на экране блокировки. Тот самый сценарий, глянул и пошел, о котором мечтали в 90-х, но который тогда не тянуло железо 🤝

🥸 godnoTECH - Новости IT

Synology, подвинься. Это не колхоз, это модульная архитектура.

Типичный 🥸 Сисадмин

- Вася, ты зачем дунул в принтер?!
- Я хотел пыль сдуть... 😬

Типичный 🥸 Сисадмин

😮 Шифровальщик Nitrogen из-за бага в собственном коде просто уничтожает файлы жертв

Специалисты Coveware раскопали эпичный фейл. Версия Nitrogen для VMware ESXi содержит ошибку, из-за которой расшифровка файлов невозможна в принципе, даже если жертва заплатит выкуп и получит дешифратор.

Суть бага в том, что малварь записывает 8-байтовое значение QWORD по адресу, который частично перекрывает публичный ключ шифрования. Первые четыре байта ключа перезаписываются мусором. В итоге файлы шифруются ключом-мутантом, к которому в природе не существует парного приватного ключа, так что даже сами хакеры не смогут расшифровать данные 🎩

Можно подумать, что ошибка намеренная, однако всё время существования группировка Nitrogen была финансово мотивирована и выросла на утекших исходниках Conti. Они хотели просто заработать на корпоративном шантаже, но из-за отсутствия QA-тестирования превратили свой софт в деструктивный вайпер. В итоге хацкеры без денег, жертвы без данных, а вся надежда теперь только на бэкапы... если они есть 😬

Типичный 🥸 Сисадмин

Это должно было быть временным решением ... 2 года назад 😬

Типичный 🥸 Сисадмин

Сначала ты видишь провода.
Потом ты видишь полотенца, похожие на гигантские трусы, которые натянули на угол комнаты 🏥

Развидеть это невозможно.

Типичный 🥸 Сисадмин

Мотивации пост.

Не откладывай на завтра то, что может разлететься на тысячу осколков сегодня

Типичный 🥸 Сисадмин

Хакеры проверяют конфиг Nginx через nginx -t, чтобы не уронить ваш прод 🎩

Исследователи из Datadog обнаружили схему, где веб-сервер захватывают не чтобы зашифровать, а чтобы превратить в умный прокси. Проникают через уязвимость React2Shell (CVE-2025-55182), после чего загружают скрипты, которые парсят директорию /etc/nginx/ (или пути панели Baota) и внедряют в конфиги вредоносные блоки location.

В конфиг добавляются локейшены типа /game/, /help/, /news/, внутри которых стоит proxy_pass на сервер хацкеров. Пользователь заходит на легитимный, доверенный домен, видит зеленый замок SSL, но контент ему отдает сервер хацкеров. Чаще всего это реклама казино или скам, который идеально индексируется поисковиками за счет репутации вашего домена.

Скрипт-инжектор (4zdh.sh) написан профессионально... перед тем как применить изменения, он запускает nginx -t. Если новый конфиг не проходит валидацию, малварь не перезагружает Nginx, чтобы не уронить прод и не привлечь внимание админа падением сервиса. Более того, если на сервере выпилены curl и wget, скрипт умеет качать пейлоады через нативные возможности Bash (/dev/tcp) 😎

Так что если ваши маркетологи жалуются, что сайт начал ранжироваться по запросам "слоты онлайн крутить" 🎰, не спешите винить контент-манагера. Сделайте grep -r "proxy_pass" /etc/nginx и посмотрите, куда на самом деле смотрит ваш реверс-прокси.

Типичный 🥸 Сисадмин

🔐Проблема 2026 года пришла в железо. Корневые сертификаты в UEFI истекают

Давайте вспомним занимательную математику. Технология Secure Boot массово пошла в продакшн в 2011 году, а срок жизни корневых сертификатов, зашитых в UEFI, составляет ровно 15 лет. Складываем числа и получаем июнь 2026 года 😱. Сертификаты доверия (KEK, DB, DBX) начинают массово истекать. В теории это означает, что загрузчик ОС перестанет проходить проверку подлинности, и система либо не загрузится, либо перестанет принимать обновы безопасности (включая патчи против буткитов). Под раздачу попадает вообще всё железо и виртуалки, выпущенные с 2012 года, от Windows Server 2012 и древних LTSC сборок до Windows 11.

Microsoft, осознавая масштаб грядущего кирпичного завода 🧱, выкатила инструмент диагностики, но сделала это как всегда через одно место... через облачный Intune и Windows Autopatch 😂

Звучит прекрасно... у нас половина парка сидит в закрытых контурах, вторая половина на трофейных лицензиях без доступа к облакам Azure, а третья - это зоопарк из китайских ноутбуков и серверов, ввезенных параллельным импортом. Отчет в Intune нам не поможет, потому что доступа к нему нет. А проблема есть. И решается она обновлением BIOS/UEFI на каждом конкретном устройстве. Представьте перспективу искать свежие прошивки на материнки десятилетней давности 😭

Кого-то ждет веселый квест. Вместо того чтобы заниматься безопасностью (иллюзией 😬), мы будем вынуждены либо бегать с флешками и шить BIOS (если найдем прошивку), либо, что гораздо вероятнее, массово отключать Secure Boot в BIOS, ибо проще отключить, чем найти апдейт на старую мать.

Типичный 🥸 Сисадмин