Админим с Буквой

Админим с Буквой

@bykvaadm

Канал о системном администрировании, DevOps и немного Инфобеза.По всем вопросам обращаться к @bykva.

6 315подписчиков
🇷🇺

Похожие каналы

Все →

Последние посты

Админим с Буквой — пост в ТГ канале

⚡️ Запускаем call for papersЗаявку можно подать на сайте до 29 июня (включительно). Там же ищите подробности и требования к докладам.Как проходит отбор и как лучше оформить заявку, читайте в статье на «Хабре».

1 июн. 2026 г.2 840В Telegram

Друзья, мы с командой наконец-то релизнули курс по DevSecOps и открываем набор. Уже полгода мы работаем над созданием курса и теперь готовы представить его мируВстречайте https://edu.eversecure.ru

28 мая 2026 г.2 950В Telegram
Админим с Буквой — пост в ТГ канале

Инженеры перебрали... Linux-кейсов 🤩У K2 Cloud и K2Тех вышла запись митапа по Linux —pебята разобрали реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А еще в конце дали специальный кейс для зрителей — можно решить его и забрать приз до 5 июня.Смотреть здесь

26 мая 2026 г.3 580В Telegram

Успели обновиться вчера? 🌚Еще не успели выдохнуть, как подъехала 4 уязвимостьArbitrary File Read Linuxhttps://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/tree/mainПатча пока нет 🌚* Block pidfd_getfd. I don't think it's actually used that heavily and there's often fallbacks for older kernels when it is.* You could remove the world-executable bit from ssh-keysign but this is *not* the only binary affected, and this is a very weak mitigation indeed __only for the PoC__.👀@ever_secure | 💪 Мерч | 💳Поддержать

15 мая 2026 г.3 020В Telegram

Давно не былоОбновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запросhttps://www.opennet.ru/opennews/art.shtml?num=65442Уязвимость (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:rewrite ^/users/(?<user_id>[0-9]+)/profile/(?<section>.*)$ /profile.php?id=$user_id&tab=$section last;Уязвимость присутствует начиная с версии 0.6.27, выпущенной в марте 2008 года. Причиной появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами.NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerabilityhttps://depthfirst.com/research/nginx-rift-achieving-nginx-rce-via-an-18-year-old-vulnerabilityPoChttps://github.com/depthfirstdisclosures/nginx-riftДругие уязвимости:- CVE-2026-42926 - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2).- CVE-2026-40701 - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с дире

14 мая 2026 г.2 330В Telegram

А вы думали - всё:)

14 мая 2026 г.1 990В Telegram
Админим с Буквой — пост в ТГ канале

Череда уязвимостей в ядре, приводящих к LPE и container escape продолжается.На этот раз – fragnesia. Это новая LPE уязвимость из семейства Dirty Frag/Dirty Pipe, позволяющая локальному пользователю получить root через corruption page cache в подсистеме XFRM ESP-in-TCP. Эксплойт не требует race condition и работает как deterministic logic bug, что делает эксплуатацию особенно стабильной и опасной.Интересно, что fragnesia появилась как побочный эффект одного из патчей для Dirty Frag. CVE пока не назначена, а фикс пока только в виде небольшого patchset, который ещё не успел попасть во все mainstream kernel releases.P.S. Сегодня последний день подать свой вариант на конкурс и выиграть билет на нашу конференцию БеКон 2026.

14 мая 2026 г.1 870В Telegram

зря мы издевались над астрологами, старая неделя обновлений еще не успела закончится, как подъехала новая неделя обновлений) Linux LPE https://github.com/V4bel/dirtyfrag 👀@ever_secure | 💪 Мерч | 💳ПоддержатьAnsible mitigationhttps://gist.github.com/bykvaadm/7bb8937ebc4f0485fea26fa27af4c522

8 мая 2026 г.5 050В Telegram
Админим с Буквой — пост в ТГ канале

зря мы издевались над астрологами, старая неделя обновлений еще не успела закончится, как подъехала новая неделя обновлений)Linux LPEhttps://github.com/V4bel/dirtyfrag👀@ever_secure | 💪 Мерч | 💳Поддержать

8 мая 2026 г.2 560В Telegram
Админим с Буквой — пост в ТГ канале

🚀 Managed Kubernetes в Beget — старт BETA-тестирования🤪 Всем привет, с вами Кот) Есть хорошая новость — спустя примерно год разработки мы вместе с командой наконец-то запустили Managed Kubernetes в Beget.com.Сервис уже доступен в BETA-режиме через облачную платформу. Пока есть ряд ограничений и шероховатостей, но запуск состоялся — и это для нас важный этап.🙃 Низкий порог входа:Все однонодовые управляющие контуры сейчас доступны за 1 ₽/месяц Наша цель — сделать Kubernetes доступнее не только для крупных команд, но и для небольших проектов, индивидуальных разработчиков и SMB.😈 Из интересного: • поддержка 1 и 3 нодовых кластеров (CP) • поддержка системы аддонов • поддержка воркер групп (DP) • поддержка L4 балансировщиковБудем очень рады обратной связи, тестам, багрепортам и предложениям по развитию сервиса.

6 мая 2026 г.2 510В Telegram
Админим с Буквой — пост в ТГ канале

БеКон 2026: единственная в России конференция по безопасности контейнеров и KubernetesЧетвёртый БеКон собирает технических специалистов, чтобы говорить о безопасности Kubernetes без маркетинговой шелухи: только практики, кейсы и инструменты.Два трека под разные задачи:🧪 «Ингредиенты» — технологии: hardening кластеров, runtime-защита, policy-as-code, сканирование образов👥 «Рецепты» — люди и процессы: как выстроить культуру безопасности, коммуникацию Dev/Sec/Ops, внедрить Zero Trust в микросервисыЗачем идти?✅ Узнать, как защищать контейнерные среды в реальных условиях, а не на слайдах✅ Понять, какие инструменты и подходы работают в 2026 году✅ Обсудить боли с коллегами и спикерами на Speaker Party✅ Заработать баллы на геймификации и забрать мерч✅ Заглянуть в мершоп БеКон за эксклюзивным мерчомБеКон 2026 — где безопасность контейнеров перестаёт быть теорией.🗓 2 июня 2026 | 📍 Москва, Лофт ГОЭЛРО 👉 Регистрация и программа

5 мая 2026 г.2 370В Telegram

Ansible Role Scanner 🔍 Написал Навайбкодил инструмент для тех, кто разгребает большой GitLab-инстанс и хочет понять — где вообще живут Ansible-роли? Репозиторий сканируется без клонирования — только точечные API-запросы. Скрипт ищет структурные признаки…Зочем это и как может быть полезно?Унификация, конечно же.... Много команд, карманные роли, повторение одного и того же по несколько раз, переизобретение, дублирование, нет единого вижена, правил готовки ...наличие централизованного ансибл-гелекси с единым виженом хорошо ложится на процесс "технологический радар" - когда есть зафиксированные и рекомендованные к использованию технологии в компании, готовые RFC, ссылки на автоматизацию и use-cases.+ известные и понятные мейнтейнеры, к которым можно обратиться за помощью во внедрении нового для себя инструмента+ это также хорошо ложится на трек "компетенции", когда в компании есть какое-то сообщество вокруг технологии и ее применении.

4 мая 2026 г.2 250В Telegram
Админим с Буквой — пост в ТГ канале

Ansible Role Scanner 🔍Написал Навайбкодил инструмент для тех, кто разгребает большой GitLab-инстанс и хочет понять — где вообще живут Ansible-роли?Репозиторий сканируется без клонирования — только точечные API-запросы. Скрипт ищет структурные признаки (tasks/main.yml, defaults/, meta/ и т.д.), паттерны в именах репозиториев, вложенные роли через BFS, тест-окружения molecule.На выходе — самодостаточный HTML-отчёт: поиск, фильтры по уверенности (High / Medium / Low), сортировка, попап с историей коммитов и колонка заметок с сохранением в localStorage. Заметки переживают перегенерацию отчёта — привязаны к web_url репозитория, а не к имени файла.Работает на read_api токене, опционально sudo-режим для полного скана инстанса.→ https://github.com/bykvaadm/ansible-role-scanner

4 мая 2026 г.2 300В Telegram

ansible-playbook для временного патчинга, пока нет в репозитории исправления https://gist.github.com/bykvaadm/7a9e56861ea25de49980ebb0660d7e56+ для кубовых средhttps://github.com/deckhouse/d8-copy-fail-mitigationhttps://github.com/yandex-cloud-examples/yc-mk8s-copy-fail-mitigation/blob/main/copy-fail-mitigation-daemonset.yamlhttps://github.com/NorskHelsenett/copy-fail-destroyer

2 мая 2026 г.2 490В Telegram
Админим с Буквой — пост в ТГ канале

А вот что ещё, например, можно навайбкодить за час. У нас в компании почти 10.000 проектов в гитлабе. огромное число сныканных автоматизаций внутри команд. Я задался вопросом, а как бы мне удобно провести аудит всего сущего чтобы прийти потом в гости к людям, посмотреть в глаза и сказать "а давай-ка ты переедешь в общий galaxy и перестанешь тратить время на поддержку уже существующих ролей и прочее оптимизационное бла-бла-бла".смог бы я написать такой интерфейс сам?) да ни в жизни. а так, за час - рабочий аудит инструмент с приятной визуализацией. Как доотлажу, выложу.З.Ы. вайбкодинг веду от обратного - сначала результат, под него код. Это пример результата. Очевидно, свой аудит рабочий я не буду выкладывать =)

1 мая 2026 г.2 540В Telegram