• На хабре есть хороший чек-лист, включающий десять базовых правил по безопасности VDS.

• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:

Читать статью [7 min].

#ИБ

40 лет назад был основан Фонд Свободного Программного Обеспечения.

• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.

• Философия фонда строится на 4 основных свободах:

Свобода запускать программу в любых целях (свобода 0).
Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.

• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.

• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.

• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.

• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.

• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.

https://www.fsf.org/events/fsf40

#Разное

• Классика: один из подрядчиков Агентства по кибербезопасности и защите инфраструктуры США (CISA) допустил утечку данных ведомства. Ребята хранили архив с паролями и другими данными CISA в открытом GitHub репозитории...

• Публичный репозиторий под названием Private-CISA содержал 844 МБ данных, включая код инфраструктуры Terraform, журналы сборки CI/CD, документацию по процессам развёртывания инфраструктуры, манифесты Kubernetes, файлы ArgoCD и YAML-файлы, AWS-ключи, логины и пароли к десяткам внутренних систем CISA. Все эти данные давали подробное представление о внутренней инфраструктуре CISA, процессах её разработки и эксплуатации.

• Утечка была найдена исследователями из компании GitGuardian. Сначала они усомнились в подлинности находки. Названия папок и файлов выглядели слишком уж "удачно" - Backup-April-2026, Kubernetes-Important-Yaml-Files, Important-AWS-Tokens, AWS-Workspace-Firefox-Passwords и т.д. Однако анализ содержимого показал, что данные подлинные. 

• Эксперты сообщили о своей находке через портал CERT/CC 14 мая, а также попытались связаться с ответственными за репозиторий лицами напрямую. Только на следующий день, 15 мая, исследователям удалось установить контакт с CISA, и к вечеру репозиторий был отключён.

Источники [1], [2].

#Новости

• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav. Я уже упоминал эту тулзу несколько месяцев назад в одном из постов, но я не описывал ее возможности.

• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.

• Вот основные возможности lnav:

Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
Работа с пайпами и многое другое...

• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.

#Tools #DevOps

Хотите стать пентестером и предотвращать кибератаки?

Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Стартуем 4 июня — регистрация здесь.

Что вы получите?
Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест
Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов.
Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности

Полный цикл обучения:
от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

Подробнее о курсе

#Юмор

• Пост выходного дня: подробные руководства по Cron и Systemd в Linux.

• Cron - классический планировщик задач в Unix-подобных операционных системах, позволяющий автоматизировать выполнение команд и скриптов по расписанию. Позволяет запускать команды/скрипты в определенное время или с определенной периодичностью, но при не самом аккуратном использовании может "подкинуть" проблем: от падения сервера из-за перегрузки до "тихих" ошибок, о которых можно долго не знать.

• В этом руководстве описаны не только основы работы с cron, но и типичные подводные камни, альтернативы для сложных сценариев, а также продвинутые форматы расписания. Информация будет полезна всем, кто хочет более подробно разобраться в автоматизации задач в Linux.

Читать статью [8 min].

• Systemd - комплексная, глубоко интегрированная система инициализации и управления, которая стала неотъемлемым скелетом современных дистрибутивов Linux. Её архитектура, построенная вокруг концепции юнитов, cgroups и централизованного журналирования, кардинально меняет подход к администрированию системы.

• В данном руководстве автор рассказал про все основные и ключевые технические аспекты: архитектура, юниты, cgroups, работа с журналами. Только команды и конфиги. Данная статья является продолжением статьи по cron, так как systemd был затронут, но не раскрыт.

Читать статью [16 min].

#Linux #Cron #Systemd

• 2000 часов или 83 дня - именно столько продолжается интернет-шатдаун в Иране. В стране нет доступа к глобальному интернету, а за все время шатдауна в стране была создана настоящая трехуровневая система, которая разделяет людей на "уровни" для доступа к сети:

• Первый уровень - "белый интернет" - доступен только чиновникам и некоторым журналистам, которые получили соответствующее разрешение. Интернет на данном уровне работает без ограничений.

• Второй уровень - "Internet pro" - доступ к сети предоставляется только преподавателям, врачам, юристам и определенным организациям. Однако, на данном "уровне", доступ отрыт не более чем к десяти сервисам. Открывается Telegram, а вот ютубчик посмотреть уже не получится. Стоит это около 0,20 евро за 1 гигабайт.

• Третий уровень - все остальные жители Ирана. Они вынуждены покупать коммерческие VPN и платить за 1 гигабайт около 2.5 евро - это очень высокая цена и большинство просто не может себе позволить платить такую сумму за доступ в сеть.

• Если верить экспертам, то экономический ущерб от отключения уже привысил 1 миллиард баксов... Как то так...

Источник.

#Новости

• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.

• Философия фонда строится на 4 основных свободах:

Свобода запускать программу в любых целях (свобода 0).
Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.

• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.

• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.

• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.

• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.

• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.

https://www.fsf.org/events/fsf40

#Разное

Paged Out #7!

• 7-й номер журнала Paged Out - включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.

#Журнал #ИБ

🎯 Как справиться с рисками для прикладного ПО на Java и выполнить требования регуляторов за полгода?

117 приказ ФСТЭК, указы №166 и №250, постановление №1236, требования Минцифры — все это обязывает использовать проверенное российское ПО.

На бесплатном вебинаре разберём, почему среда исполнения Java — критический слой инфраструктуры, и чем грозит её несоответствие требованиям: от технических сбоев до штрафов и проблем с аудитом.

🎤 Спикер: Роман Карпов, генеральный директор Axiom JDK

📅 Когда: 26 мая, 11:00 (мск), онлайн.

📋 Обсудим:
• какие нормативные акты диктуют выбор Java-среды;
• как закрыть требования регуляторов без авральной перестройки;
• зачем нужны SBOM, сертификаты и живая техподдержка;
• как без лишней головной боли перейти на Axiom JDK — готовые сценарии для КИИ, ГИС и регионов.

👉 Будет интересно всем, кто отвечает за безопасную разработку и инфраструктуру — от ИБ до техдиров.

Зарегистрироваться

• 20 лет назад мир увидел μTorrent - одно из самых популярных в мире приложений. С того момента сильно изменилась целевая аудитория программы. Если 20 лет назад им начали пользоваться гики, то сейчас через uTorrent могут качать сериалы наши мамы, папы, бабушки и дедушки и другие люди, кого и близко нельзя назвать экспертами в компьютерах.

• Символ "μ" в названии μTorrent означает «micro». Разработчик Людвиг Стригеус в 2004 году начал работать над эффективным BitTorrent-клиентом, который не стал бы использовать слишком много ресурсов.

• Стригеус работал над приложением в свободное время, но вскоре занялся другими делами, и проект застопорился. В сентябре 2005 года Стригеус к нему вернулся и уже спустя три дня представил первую версию μTorrent.

• Спустя считанные дни приложение заработало популярность среди пользователей Windows. За следующие несколько месяцев новым торрент-клиентом начали пользоваться сотни тысяч человек. К декабрю 2008 года им пользовались 28 миллионов человек, а к 2015 году их количество достигло 150 миллионов.

• За первый год работы с приложением Людвиг Стригеус сделал ряд ключевых нововведений, которые являются неотъемлемой частью BitTorrent-экосистемы. Это протокол DHT, позволяющий BitTorrent-клиентам находить друг друга без трекера, и шифрование BitTorrent.

• Новым приложением быстро заинтересовалась компания BitTorrent. Её глава Ашвин Навин поблагодарил Стригеуса за его инновации в 2006 году. Одной благодарностью дело не закончилось…

• 7 декабря 2006 года, спустя чуть более года после первого релиза, компания BitTorrent Inc. купила μTorrent после того, как сама получила новые вложения в очередном раунде финансирования. С помощью μTorrent компания хотела расширить базу пользователей. Поглощение повысило потенциал μTorrent, количество пользователей выросло, а Людвиг Стригеус стал техническим консультантом BitTorrent и занялся другим P2P-проектом — легальным стримингом музыки Spotify...

#Разное

• Flipper One выглядит максимально красиво и эстетично, а его функционал кардинально отличается от Flipper Zero (по сути, это совершенно другой проект с другими задачами).

• Нам обещают, что новая версия будет представлять из себя открытую Linux-платформу, из которой можно слепить что угодно: от сканера IP-сетей с 5G-модемом до AI-анализатора радиосигналов на SDR. Разработчики уделили большое внимание системе хардварных расширений. Внутрь Flipper One можно устанавливать высокоскоростные модули с интерфейсами PCIe, USB 3.0, SATA. Можно добавить SDR, быстрый SSD диск, сотовый LTE/5G или спутниковый модем.

• В устройство встроены сетевые интерфейсы: 2x Gigabit Ethernet, USB Ethernet (5 Gbps), Wi-Fi 6E (2.4/5/6 GHz). Можно добавить поддержку 5G с помощью M.2-модема. Это позволяет использовать Flipper One как роутер, VPN-шлюз или мост между проводной и беспроводной сетью.

• К сожалению, о полноценном анонсе Flipper One говорить пока рано. По предварительной информации только в конце этого года устройство появится на Kickstarter, но посмотреть на эту красоту уже можно сейчас. В любом случае, когда Flipper будет официально анонсирован и поступит в продажу, то я обязательно разыграю несколько штук в этом канале.

https://blog.flipper.net/flipper-one-we-need-your-help/

#Разное