У компании Terrasoft (кто знает, тот знает) произошла утечка документов и исходного кода.
https://breached.to/Thread-Terrasoft-Creatio-Data-Leak-Projects-Customer-data
https://breached.to/Thread-Terrasoft-Creatio-Data-Leak-Projects-Customer-data
+1 метод выпуска SSL сертификата от Let's Encrypt через DNS-challenge. Только этот метод использует CNAME-запись вместо TXT.
Запись добавляется один раз вручную и больше её добавлять не требуется.
https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation
https://www.digitalocean.com/community/tutorials/how-to-acquire-a-let-s-encrypt-certificate-using-dns-validation-with-acme-dns-certbot-on-ubuntu-18-04
Запись добавляется один раз вручную и больше её добавлять не требуется.
https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation
https://www.digitalocean.com/community/tutorials/how-to-acquire-a-let-s-encrypt-certificate-using-dns-validation-with-acme-dns-certbot-on-ubuntu-18-04
Electronic Frontier Foundation
A Technical Deep Dive: Securing the Automation of ACME DNS Challenge Validation
Earlier this month, Let's Encrypt (the free, automated, open Certificate Authority EFF helped launch two years ago) passed a huge milestone: issuing over 50 million active certificates. And that
🔥1
Изучаем внутренности PostgreSQL и служебные таблицы
https://pgstats.dev/
Генератор конфигураций PostgreSQL
https://pgtune.leopard.in.ua/
https://www.pgconfig.org
https://pgstats.dev/
Генератор конфигураций PostgreSQL
https://pgtune.leopard.in.ua/
https://www.pgconfig.org
pgtune.leopard.in.ua
PGTune - calculate configuration for PostgreSQL based on the maximum performance for a given hardware configuration
PgTune - Tuning PostgreSQL config by your hardware
👍2
Новая порция уязвимостей для on-prem продуктов Atlassian
https://confluence.atlassian.com/security/july-2022-atlassian-security-advisories-overview-1142446703
https://confluence.atlassian.com/security/july-2022-atlassian-security-advisories-overview-1142446703
Prometheus-экспортер для Podman runtime
https://github.com/containers/prometheus-podman-exporter
https://github.com/containers/prometheus-podman-exporter
GitHub
GitHub - containers/prometheus-podman-exporter: Prometheus exporter for podman environments exposing containers, pods, images,…
Prometheus exporter for podman environments exposing containers, pods, images, volumes and networks information. - containers/prometheus-podman-exporter
Из интересного - pull policy образов в CI, как это сделано в Kubernetes
https://about.gitlab.com/releases/2022/07/22/gitlab-15-2-released/
https://about.gitlab.com/releases/2022/07/22/gitlab-15-2-released/
GitLab
GitLab 15.2 released with live wiki diagram previews and redesigned merge request reports
GitLab 15.2 released with Live preview diagrams in the wiki WYSIWYG editor, Incident Timelines, Group and subgroup scan execution policies, Change failure rate chart for visualizing software stability, and much more!
Меняется целая эпоха. Redhat начинает переход к новому формату конфигурации для сетевых интерфейсов
https://www.redhat.com/en/blog/rhel-9-networking-say-goodbye-ifcfg-files-and-hello-keyfiles
https://www.redhat.com/en/blog/rhel-9-networking-say-goodbye-ifcfg-files-and-hello-keyfiles
Redhat
RHEL 9 networking: Say goodbye to ifcfg-files, and hello to keyfiles
By default, NetworkManager now uses the key file format to store new connection profiles. Note that the ifcfg format is still supported.
https://developers.redhat.com/articles/2022/06/20/8-open-source-kubernetes-security-tools#kubelinter
Red Hat Developer
8 open source Kubernetes security tools | Red Hat Developer
Security remains a top concern for developers working with containers and Kubernetes. In a just-released paper from Red Hat, the 2022 State of Kubernetes security report, 93% of respondents
Однажды любая компания, которая разрабатывает свой сервис, приходит к идее, что кластер БД, состоящий из мастера и нескольких реплик, можно разгрузить.
Для этого можно читать данные с реплик.
Однако, при реализации возникает один нюанс (далее будет пример с PostgreSQL).
Нужно обязательно проверить, как на кластере с репликацией настроен механизм подтверждения транзакций.
Подробнее https://cloud.yandex.ru/docs/managed-postgresql/concepts/replication#write-sync-and-read-consistency
Идея в том, чтобы данные были консистентны на всех нодах кластера, чтобы не случилась ситуация, когда вы пишете на мастер данные, потом считываете их с реплики, а там этих данных нет.
Это регулируется параметром synchronous_commit:
https://postgrespro.ru/docs/postgrespro/13/runtime-config-wal#GUC-SYNCHRONOUS-COMMIT
Список серверов для подтверждения транзакции:
https://postgrespro.ru/docs/postgrespro/13/runtime-config-replication#RUNTIME-CONFIG-REPLICATION-MASTER (synchronous_standby_names)
Для этого можно читать данные с реплик.
Однако, при реализации возникает один нюанс (далее будет пример с PostgreSQL).
Нужно обязательно проверить, как на кластере с репликацией настроен механизм подтверждения транзакций.
Подробнее https://cloud.yandex.ru/docs/managed-postgresql/concepts/replication#write-sync-and-read-consistency
Идея в том, чтобы данные были консистентны на всех нодах кластера, чтобы не случилась ситуация, когда вы пишете на мастер данные, потом считываете их с реплики, а там этих данных нет.
Это регулируется параметром synchronous_commit:
https://postgrespro.ru/docs/postgrespro/13/runtime-config-wal#GUC-SYNCHRONOUS-COMMIT
Список серверов для подтверждения транзакции:
https://postgrespro.ru/docs/postgrespro/13/runtime-config-replication#RUNTIME-CONFIG-REPLICATION-MASTER (synchronous_standby_names)
yandex.cloud
Документация Yandex Cloud | Yandex Managed Service for PostgreSQL | Репликация в Managed Service for PostgreSQL
Из статьи вы узнаете, как работает репликация хостов кластера в Yandex Managed Service for PostgreSQL.
Команда, которая обслуживает несколько десятков docker-образов, отвечает за их обновление, а также пишет неплохую документацию по использованию сервисов.
https://www.linuxserver.io/
https://fleet.linuxserver.io/
https://hub.docker.com/u/linuxserver
https://www.linuxserver.io/
https://fleet.linuxserver.io/
https://hub.docker.com/u/linuxserver
🤔1
У nginx есть отдельный аккаунт, под которым они публикуют образ
Отличия от образа nginx следующие:
nginx-unprivileged https://hub.docker.com/r/nginxinc/nginx-unprivileged, который запускается в непривилегированном режиме.Отличия от образа nginx следующие:
This Docker Hub repository hosts NGINX Docker images that run NGINX as a non root, unprivileged user. Notable differences with respect to the official NGINX Docker image include:
The default NGINX listen port is now 8080 instead of 80.
The default NGINX user directive in /etc/nginx/nginx.conf has been removed.
The default NGINX PID has been moved from /var/run/nginx.pid to /tmp/nginx.pid. *Change _temp_path variables to /tmp/.
👍1
Прекрасный инструмент для уменьшения размера репозитория, который распухает из-за блобов, которые не загрузили под Git LFS или загрузили случайно (например, из-за отсутствующего .gitignore). Также инструмент позволяет удалить со всех веток опубликованные файлы с токенами, логинами, паролями и ключами.
https://rtyley.github.io/bfg-repo-cleaner/
https://rtyley.github.io/bfg-repo-cleaner/
rtyley.github.io
BFG Repo-Cleaner by rtyley
A simpler, faster alternative to git-filter-branch for deleting big files and removing passwords from Git history.
🔥2
Конфигурация nginx, позволяющая избавиться от ботов и/или пользователей, которые подключаются к вашему ресурсу по IP или с заголовком
Для тех, кто подключается по протоколу HTTP - возращаем 444 ошибку - The non-standard code 444 closes a connection without sending a response header.
(https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#return).
Для HTTPS - сбрасываем handshake директивой
SSL-сертификаты можно использовать либо самоподписные, либо сгенерированные пакетом ssl-cert (есть в Debian-based дистрибутивах), которые избавляют нас от этого.
За пример конфигурации спасибо @trombonax
Host, отличным от адреса сайта.Для тех, кто подключается по протоколу HTTP - возращаем 444 ошибку - The non-standard code 444 closes a connection without sending a response header.
(https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#return).
Для HTTPS - сбрасываем handshake директивой
ssl_reject_handshake
(https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_reject_handshake).SSL-сертификаты можно использовать либо самоподписные, либо сгенерированные пакетом ssl-cert (есть в Debian-based дистрибутивах), которые избавляют нас от этого.
За пример конфигурации спасибо @trombonax
server {
listen 80 default_server;
listen 443 ssl http2 default_server;
server_name _ "";
ssl_certificate ssl/ssl-cert-snakeoil.pem;
ssl_certificate_key ssl/ssl-cert-snakeoil.key;
ssl_reject_handshake on;
return 444;
}👍2
https://github.com/mkubecek/vmware-host-modules
Vmware-модули vmmon и vmnet для сборки под разные версии Vmware Player/Workstation и разные ядра.
Полезно, когда приехало свежее ядро (например, на Fedora), а vmware ещё не собрала модули под новую версию.
Сборка простая
Vmware-модули vmmon и vmnet для сборки под разные версии Vmware Player/Workstation и разные ядра.
Полезно, когда приехало свежее ядро (например, на Fedora), а vmware ещё не собрала модули под новую версию.
Сборка простая
sudo make && sudo make install
sudo systemctl restart vmware
GitHub
GitHub - mkubecek/vmware-host-modules: Patches needed to build VMware (Player and Workstation) host modules against recent kernels
Patches needed to build VMware (Player and Workstation) host modules against recent kernels - mkubecek/vmware-host-modules
В Gitlab 15.3 появилась возможность использовать Podman для выполнения задач
https://docs.gitlab.com/runner/executors/docker.html#use-podman-to-run-docker-commands
https://docs.gitlab.com/runner/executors/docker.html#use-podman-to-run-docker-commands
Gitlab
Docker executor | GitLab Docs
GitLab product documentation.
🔥1
Трейлер документального роуд-муви о Linux в России:
https://youtu.be/PMg8d1N6Dy0
Сайт режиссера и фильма:
https://www.serotoninja.com/linstoria/
https://youtu.be/PMg8d1N6Dy0
Сайт режиссера и фильма:
https://www.serotoninja.com/linstoria/
YouTube
Линстория - документальный фильм о Линукс в России. Трейлер #1
Помочь проекту:
Сбербанк: 2202 2023 0840 7802
Бусти: https://boosty.to/linstoria
Информация о проекте:
https://www.serotoninja.com/linstoria/
https://t.iss.one/linstoria
Идея, режиссёр, оператор-постановщик: Тимофей Королёв
Музыка: Антон Чекрыгин, Артём Иоаннисян…
Сбербанк: 2202 2023 0840 7802
Бусти: https://boosty.to/linstoria
Информация о проекте:
https://www.serotoninja.com/linstoria/
https://t.iss.one/linstoria
Идея, режиссёр, оператор-постановщик: Тимофей Королёв
Музыка: Антон Чекрыгин, Артём Иоаннисян…
В дополнение к новости о том, что Сбербанк хочет перейти на российские сертификаты https://rozetked.me/news/25555
Теперь нас просят самостоятельно поставить на все наши устройства сертификаты
https://www.sberbank.ru/ru/certificates
Теперь нас просят самостоятельно поставить на все наши устройства сертификаты
https://www.sberbank.ru/ru/certificates
Rozetked
«Сбер» начал переводить свои сайты на российские TLS-сертификаты
«Сбер» первым в стране начал установку на свои сайты и информационные системы сертификатов, выпущенных Национальным удостоверяющим центром (НУЦ).