​​Роскомнадзор может ограничить доступ в России для зарубежных провайдеров из-за того, что они не выполнили его требования.

Согласно законодательству, компании, оказывающие услуги хостинга, должны обеспечивать безопасность информации в своей инфраструктуре, взаимодействовать с Центром мониторинга и управления сетью связи общего пользования для противодействия DDoS-атакам, участвовать в учениях по обеспечению устойчивости российского сегмента интернета и подать заявку на включение в реестр провайдеров хостинга Роскомнадзора.

В списки Роскомнадзора попали:

▫️GoDaddy com LLC
▫️Amazon Web Services In
▫️HostGator com LLC
▫️Kamatera Inc
▫️ Ionos Inc
▫️Network Solutions LLC
▫️DigitalOcean LLC
▫️Hetzner Online GmbH

При этом следует помнить, что, например, GoDaddy com LLC – это не только одноименный хостинг, но и ряд компаний помельче, работающих под своими торговыми марками, скажем, Host Europe GmbH.

Ну и два последних хостера в списке – это серьезный удар, особенно по «народному» Hetzner.

👉 В общем – делаем выводы и готовим запасные площадки.

​​Риски использования зарубежного хостинга

На фоне дневных новостей решили обобщить свой опыт и собрать в одном материале все основные риски использования зарубежного хостинга в настоящее время.

Начнем с причин, которые заставляли использовать именно зарубежных провайдеров. Точнее с причины. Основная причина – это соотношение цена/возможности. В этом плане зарубежные хостеры предоставляли и предоставляют более интересные предложения, чем отечественные.

Все остальное вторично, а в текущих реалиях и вовсе перестало иметь значение, например, вынос сайта «за пределы юрисдикции» по соображениям безопасности. По факту безопасностью там и не пахнет, а теперь еще и заблокировать могут, просто по факту принадлежности к определенной юрисдикции.

Но начнем по порядку.

1️⃣ Оплата. Сегодня платить напрямую зарубежным провайдерам из РФ невозможно, вам придется использовать посредников, карты зарубежных банков, криптовалюты и прочие схемы, которые удорожают стоимость услуг.

А так как основной стимул хоститься там – это стоимость, то нужно крепко подумать и хорошо посчитать, может все-таки выгоднее вернуться в родные пенаты? Тем более что рисков хватает.

Также мы не говорим о том, что канал оплаты может в любой момент закрыться или кратно подорожать, добавляем сюда еще и нестабильность валютного курса.

2️⃣ Санкционные блокировки. Многие зарубежные провайдеры поддерживают санкции в отношении РФ и могут как полностью заблокировать ваш аккаунт, так и частично.

К частичным блокировкам относится, например, блокировка личного кабинета для российских адресов или систем с установленным русским языком или локалью.

В большинстве случаев для полноценного использования аккаунта вам понадобится виртуалка на зарубежной редакции ОС, без русской локали и раскладки клавиатуры и с часовым поясом отличным от поясов РФ.

3️⃣ Персональные блокировки. Если предыдущий пункт содержал чисто технические меры, когда блокировка была настроена в автоматическом режиме и не касалась вас лично, то здесь все хуже.

Например, вы можете получить такое письмо:

Sehr geehrte Damen und Herren,

wir möchten Sie daran erinnern, dass unseren Aufzeichnungen zufolge, Sie oder eine in Ihrem Konto aufgeführte Kontaktperson oder Domaininhaber/in sich möglicherweise in der Russischen Föderation befinden. Soweit diese Angaben zutreffen, werden Ihre Konten und/oder das/die betroffene(n) Produkt(e) zum 29.02.2024 gekündigt.

Für alle anderen Produkte wird Ihr Zugriff auf alle bei uns gespeicherten Daten und Inhalte zum 29.02.2024 beendet, und wir können Ihnen keine Backups zur Verfügung stellen. Aus diesem Grund bitten wir Sie dringend, Ihre Daten zu sichern und alle Produkte, die Sie bei uns haben, vor diesem Datum zu einem neuen Anbieter zu übertragen.

Общий смысл прост, мы заметили, что вы из РФ, поэтому просим с вещами на выход. Причем просят на выход в довольно сжатые сроки, данное письмо мы получили 22 февраля. А если у вас там был не один сайт, а целая инфраструктура?

4️⃣ Трансграничные замедления. Тут трудно сказать кто именно виноват и чьих это рук дело, но замедление трансграничного трафика имело и имеет место быть. Причем у вас все может быть хорошо, а вот у посетителей вашего сайта не очень.

В результате начнет расти процент отказов, будут падать позиции в поисковиках, просядет трафик что напрямую скажется на коммерческом результате. Причем не важно получаете вы доход с сайта напрямую или опосредованно. Для информационного ресурса тоже нет ничего хорошего, просядет рекламный доход.

5️⃣ Блокировки РКН. Под блокировку сегодня можно попасть легко и непринужденно. Просто, потому что где-то рядом у вас плохие соседи и РКН отдал на блокировку целый блок IP-адресов, потому что РКН не договорился с провайдером и т.д. и т.п.

Приятного тут тоже мало. Переезжать с заблокированного ресурса – еще то удовольствие, так как обходит, возможно, придется с двух сторон. С одной – запреты РКН, с другой – санкционные блокировки там.

Ну и вишенкой на торте будет спалиться и попасть под блокировки персональные.

Начать свой путь в ИБ с обширной базой знаний поможет курс "Введение в информационную безопасность" от Академии Кодебай. Запись до 12 декабря!

Курс полезен для:
- Технических специалистов, этичных хакеров, разработчиков и всех, интересующихся информационной безопасностью

Вы научитесь:
- Находить и эксплуатировать уязвимости: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
- Организовывать защиту от перебора паролей, настраивать систему обнаружения вторжений, решать CTF-задания
- Консольным командам ОС Windows и Linux, написанию скриптов
- Ключевым инструментам пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan и других

@Codeby_Academy
Узнать подробнее о курсе

0day уязвимость в NTLM

Специалистами ACROS Security выявлена опасная уязвимость во всех версиях Windows начиная от Windows 7 и Server 2008 R2. Уязвимость позволяет злоумышленнику получить учетные данные NTLM просто просмотрев папку с вредоносным файлом.

Для ее эксплуатации пользователю даже нужно запускать вредоносный файл, достаточно просто открыть папку, в которой он находится. Подробности уязвимости и подробная схема ее работы не разглашается, чтобы затруднить ее эксплуатацию.

Информация об уязвимости передана в Microsoft, официальных исправлений в настоящее время нет. В тоже время своим клиентам ACROS Security предлагаются микропатчи закрывающие уязвимость.

⚡️ Переплаты за облако — все!

До 30% расходов на облачную инфраструктуру — это пустые траты. Зомби-ВМ, избыточные мощности, забытые ресурсы — все это съедает бюджет.

@Cloudmaster возьмет под контроль ваши расходы на облачную инфраструктуру. Платформа проанализирует потребление в реальном времени, выявит скрытые траты и предложит конкретные шаги для оптимизации.

👀 В последнем кейсе ребята помогли компании сократить облачный счет на 29% всего за 2 недели.

Подписывайтесь на канал и следите за последними новостями платформы.

Мыши плакали, кололись…

Заезжал сегодня к знакомым в сервис ну и поговорили за печатающую технику. Точнее я обратил внимание на некоторую, смутно знакомую модель.

Как оказалось, известный отечественный производитель совместимой расходки Cactus начал делать «совместимые» принтеры.

Модель пока одна, в нескольких вариациях. Кто послужил прототипом, я думаю, называть не надо. Все понятно из внешнего вида и названия: Cactus CS-LP1120 (драйвера от «оригинала» подходят тоже).

По неофициальным сведениям, сию модель перелицензировали у китайцев, которые ее в свою очередь у кого-то там лицензировали или «лицензировали».

Но в целом аппарат неплохой, тот же оригинал плюс некоторые доделки по механике и корпусу в лучшую сторону. Так что, если что, брать можно.

А почему наши LXC-контейнеры перестали запускаться?

Вопрос нетривиальный и ответ на него найти очень не просто, особенно если работать надо здесь и сейчас.

Но в нашем случае виновник нашелся сразу. Это пакеты HASP LM от Etersoft и именно версии 7.90, про которые мы рассказывали вчера.

Сегодня один наш коллега, тоже не победивший в свое время версию 8.х, прочитав заметку, наконец-то «решил вопрос» и перенес HASP с компьютера пользователя на сервер.

Но, по старой админской привычке, перезагрузил сервер и сразу столкнулся с проблемами.

Если остановить службу haspd, то контейнеры нормально стартуют, потом haspd можно снова запустить – все будет работать.

Но лучше – вынести все это в отдельную виртуалку. А данная ситуация еще одно подтверждение старому правилу – не нужно ничего ставить на гипервизор.

🛠Приглашаем на открытый вебинар: Автоматическая регулировка усиления каскадов на операционных усилителях и транзисторах.

Вы узнаете теоретические и практические аспекты реализации автоматической регулировки усиления каскадов, построенных на операционных усилителях и транзисторах, работающих в частотном диапазоне до 10 МГц.

Вы обучитесь подходам к изменению коэффициентов усиления и ограничению мощности входного сигнала.

На практике попробуете проектировать каскады с АРУ, использовать SPICE симулятор KiCad и добавлять модели компонентов для анализа.

Всё это — в интерактивном формате с реальными примерами. Присоединяйтесь!

🔥Регистрируйтесь на урок 17 декабря, в 20:00 мск и получите скидку на большое обучение «Электроника и электротехника»: https://otus.pw/MK0i/

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Тест на внимательность

Имеется такая конфигурация WG:

[Interface]
PrivateKey = <PRIVKEY>
Address = 10.10.10.104/24

[Peer]
PublicKey = <PUBKEY>
AllowedIPs = 10.10.10.0/24, 192.168.25.0/0
Endpoint = XXX.XXX.XXX.XXX:34567
PersistentKeepalive = 25

Почему при ее включении на ПК пропадет доступ в интернет через основной шлюз?

​​Монолит против виртуализации

Сегодня завершили трехдневную эпопею с переносом инфраструктуры одного заказчика на новый сервер в виртуальную среду. Процесс прошел сравнительно мягко, как для нас, так и для заказчика как раз благодаря тому, что виртуализация позволяет «есть слона по частям».

Долго рассказывать, но простой сервер небольшой организации для 1С и общей папки за прошедшие восемь лет превратился в сущего монстра. Уже несколько раз менялось железо, добавлялись и убирались роли, в общем много чего делалось, но система оставалась монолитом.

А это вызывало проблемы и сложности. Всегда приходилось учитывать влияние одних служб на другие, искать компромиссы по выделению ресурсов, крайне осторожно подходить к обслуживанию и обновлению.

И вот очередной час пришел, старое железо начало однозначно намекать, что намерено в скором времени отправиться в края вечной охоты. Поэтому купили новое железо и запланировали переезд, только уже с применением виртуализации.

Кто-то скажет, а какая разница, сервер все равно один, только добавляется лишняя прослойка в лице виртуализации.

Но нет, виртуализация позволяет надежно изолировать службы друг от друга. Обеспечить гарантированное выделение ресурсов. Убрать взаимное влияние служб. Обеспечить индивидуальную настройку любых параметров.

И в случае переезда виртуальные машины и контейнеры предоставляют гораздо большую гибкость. Просто перемещаем виртуалку на другой хост виртуализации и все, никаких дополнительных перенастроек.

Аналогично и с резервным копированием и временем восстановления. Скопировать на новый хост виртуалки и запустить их всегда быстрее, чем заново настроить монолит, даже при наличии всех данных.

Теперь о том, как это лучше делать. Все упирается в план. Прежде всего вы должны разделить существующие сервисы по отдельным контейнерам или виртуальным машинам.

Оптимально: один сервис – одна виртуальная машина (контейнер).

Далее – считаем ресурсы, как дисковые, так и по оперативной памяти. И то и другое можно выделять с превышением суммарной наличной емкости, но понимать, что этот момент придется постоянно контролировать.

По памяти проще, виртуальная машина может пиково забрать память и через некоторое время вернуть ее. Виртуальные диски растут только в одну сторону, даже если потом внутри мы удалили данные, внешний размер диска не уменьшится.

Но, зная, что у нас есть запас по пространству мы можем нарезать диски с перехлестом. Зачем? Скажем пошел неконтролируемый рост логов, пусть лучше он займет лишнее место, чем приведет к остановке сервиса. А там сигнал от мониторинга, выявление проблемы, ручные процедуры по приведению в норму дискового пространства.

Контейнер или виртуальная машина? Начнем с того, что контейнеры – это не про виртуализацию, это про изоляцию. Каждый контейнер предоставляет изолированную программную среду с прямым доступом к оборудованию и ядру.

Да, при необходимости вы можете использовать нужное вам программное окружение. Но контейнер с Debian 8 на Proxmox 8 не означает, что вы там используете Debian 8, а то, что вы используете ядро от Debian 12 в окружении библиотек из Debian 8.

Виртуалка – это совсем иное дело, это отдельный хост, со своим набором виртуального железа, виртуальной ОС и для заключенных внутри нее служб она ничем не отличается от обычного ПК.

Что выбрать? Смотрите сами. Контейнер дает минимальную потерю по производительности, фактически вы работаете на железе хоста. Также контейнеры используют память хоста и то, то вы им выделили – это лимиты.

Но они имеют свои особенности эксплуатации и это надо читать документацию к гипервизору.

Виртуалки более требовательны, так как у них запущено собственное ядро и собственное окружение, что потребляет лишнюю память и дает лишние потери производительности на слое виртуализации. Но они могут быть полностью отвязаны от железа хоста.

Что выбрать – смотреть по ситуации. Но в любом случае такая структура будет более гибкой и управляемой, нежели монолит.

Узнайте все о Docker и научитесь работать с контейнерами на продвинутом уровне.

Разрабатываете приложение, которое включает несколько сервисов? Один на Python, другой на Node.js — и каждый требует своей настройки окружения. С помощью Docker можно создать контейнеры для каждого сервиса и обеспечить себе удобную работу.

👉 Даем максимум практических знаний на курсе «Docker для админов и разработчиков»

На курсе вы:
🔹 узнаете, как работает Docker
🔹 разберете особенности использования Docker с различными языками программирования
🔹 изучите CI\CD в Docker
🔹 научитесь безопасно работать с Docker-контейнерами и расширите пул доступных вам инструментов

❗️Даем бесплатный демодоступ к первым модулям на ознакомление. А после покупки курс будет доступен 2 года.

👉 Смотреть программу курса и получить бесплатный доступ 👈

#реклама
О рекламодателе

В 2024 году основные игроки рынка отечественных операционных систем выпустили новые версии ОС:

🔹Astra Linux 1.8

🔹РЕД ОС 8

И только Альт ничего не выпустил, хотя и проанонсировал новую 11-ю платформу. И не сказать, что 10-я платформа устарела, но в конкурентной среде нужно держать руку на пульсе и идти в ногу, хотя бы из имиджевых соображений.

И видимо в этих самых целях они решили пропиарить выход платформы 10.4 как чего-то все-таки нового. Статья про Simply Linux 10.4 выполнена с прямым посылом – мы тоже выпускаем новые версии и всячески развиваемся.

Но кроме планового обновления версий софта ничего нового там не видно, ядро как было 6.1.49, так и осталось, хотя в Longterm уже вышло 6.12 и для домашней версии ядро уж можно было обновить.

В остальном все тоже самое, найдите, как говориться, десять отличий. Так что на значимое событие выпуск 10.4 явно не тянет, а решений на 11 платформе мы в этом году не увидели и вряд ли уже увидим.

​​Разбираем монолит

В комментариях к вчерашней записи появились просьбы рассказать конкретику, но конкретики не будет. Потому что это, возможно, и интересно, но лишено особого практического смысла.

Почему? Ситуация в каждом случае своя и ее нельзя измерить пользователями, гигабайтами и т.п. метриками.

Самый простой пример. Два одинаковых диска, одинаковые параметры компьютера и сети, одинаковый объем данных. Только на одном лежат образы по 1,5 – 2 ГБ, а на другом россыпь килобайтных файлов. Понятно, что копирование данных займет совершенное разное время.

Поэтому исходить надо из собственной ситуации, тем более что все необходимые вводные у вас уже есть.

Прежде всего разбиваем наш монолит на составляющие его кубики. Просто берем лист бумаги и выписываем в столбик работающие на нем сервисы. Это наши будущие виртуалки или контейнеры.

В идеале идем к тому, что один сервис – один виртуальный инстанс. Даже если их можно объединить. Не нужно этого делать без крайней необходимости. Чем проще – тем удобнее, вы всегда можете легко вывести старую службу и заменить ее новым контейнером или ВМ.

А если у вас там совмещение, то это уже новый мини-монолит, где вам нужно учитывать уже большее количество влияющих на результат факторов.

Далее – выясняем потребность служб в ресурсах. Тут у вас все перед глазами. Снимаем нужные метрики с работающего монолита и получаем данные в первом приближении.

После чего оцениваем насколько текущее выделение соответствует оптимальному. Возможно, лимиты процесса у вас сознательно ограничены и, если он в эти лимиты упирается, то есть смысл выделить ему больше ресурсов.

Пишем на ту же бумажку по колонкам сколько нам надо и сколько бы хотелось. Основных ресурсов там три: ядра CPU, память, диск.

Последний заслуживает особого внимания. Сегодня у нас есть три основных типа накопителей:

HDD – медленно, но дешево за единицу объема, идеально для холодных данных
SATA SSD – промежуточный вариант, уже быстрее, но недостаточно быстро
NVMe – быстро, но дорого, самое то для горячих данных

Ваша цель – грамотно укомплектовать и распределить данные по трем типам носителей. Возможно, где-то придется уйти от сложившейся схемы и перераспределить ресурсы по-новому.

Смысл простой. Горячие данные, скажем, рабочие 1С базы – на NVMe, архивные – на SSD, файлопомойку – на жесткие. Но в любом случае отталкиваетесь от реальных метрик, все они у вас есть, надо только собрать.

С ресурсами определились, нарезали. При этом не надо бояться выделять ресурсы суммарно выше физического предела. Но вы должны четко понимать, что это только для пикового потребления и должны мониторить этот вопрос.

Теперь сам переезд. Большую часть работ можно спокойно выполнять в рабочее время. В нерабочее только перенос данных и то, если их нельзя перенести заранее и потом просто долить разницу.

Ту же файлопомойку вы можете спокойно скопировать в рабочее время, после чего через rsync долить разницу и запустить в контейнере.

Потом просто переключаем пользователей со старого ресурса на новый. Оптимально это делать посредством локального DNS, когда у всех пользователей все ресурсы прописаны по FQDN и нам достаточно просто изменить A-запись на DNS-сервере.

В остальных случаях смотрим, думаем и выбираем оптимальные варианты с учетом объемов данных и допустимого времени простоя.

Например, есть 1С сервер и его нельзя перенести полностью в технологическое окно. Но мы помним, что 1С сервер никаких ценных данных не хранит, все хранится на SQL-сервере.

Поэтому переносим сервер 1С в виртуальную среду, но базы продолжаем хранить на монолите. Потом по одной переносим базы в виртуальную среду и меняем настройки подключения на сервере 1С.

Для пользователя это абсолютно прозрачно, он даже не узнает, что его база переехала.

Это же касается и многого другого. Думаем, считаем, пробуем. Не получилось сразу – не беда, пользователи поработают еще некоторое время на этой службе в предоставлении монолита.

Как сделать почтовую систему неуязвимой для кибератак? 

Разберемся на онлайн-митапе «Дизайн и харденинг почтовых систем: новогодний подарок для ИБ» от К2Тех. Он пройдет 17 декабря в 16:00.

Эксперты расскажут о значении харденинг подхода для комплексной защиты ИТ-инфраструктуры, а также поделятся рабочими технологиями для повышения безопасности периметра корпоративной почты.

На встрече вы узнаете: 
- Как внедрить почтовую систему с применением харденинг подхода?
- Какие эффективные практики и инструменты харденинга используются на рынке?
- Как работает правило Парето на примере защиты почтовых систем?

Регистрируйтесь на митап по ссылке

Реклама. АО "К2 ИНТЕГРАЦИЯ". ИНН 7701829110.

Работа оборудования Mikrotik в режиме беспроводной станции (клиента)

Режим беспроводной станции (клиента) используется в Mikrotik гораздо реже, чем режим точки доступа, но часто, когда возникает в этом потребность, администраторы сталкиваются с различного рода затруднениями.

Во многом это происходит из-за недостаточного понимания особенностей работы беспроводного оборудования в данном режиме.

Поэтому в рамках данной статьи мы решили познакомить читателей с теорией и практикой применения роутеров данного производителя в качестве беспроводной станции и ответить на часто задаваемые вопросы.

https://interface31.ru/tech_it/2021/11/rabota-routerov-mikrotik-v-rezhime-besprovodnoy-stancii.html