🖥 Linux уверенно набирает обороты

В мире на десктопах его доля около 4%,
в Steam — примерно 3% (в том числе благодаря Steam Deck), а 100% суперкомпьютеров TOP500 работают на Linux.

С чего всё начиналось и почему система стала такой важной — рассказываем в статье 👋

🥳 С Днём российского интернета!

Спасибо тем, кто строит, развивает и поддерживает Рунет.

С праздником! 🥳

🌐 Интернет изнутри.
Экосистема глобальной сети

Обновлено и актуализировано к современным реалиям.

🔍 Рассматривается:
— глобальная адресация, IP и переход на IPv6;
— система доменных имён (DNS) и корневая зона;
— межсетевая маршрутизация и BGP;
— точки обмена трафиком (IX), CDN и взаимосвязь сетей;
— стандартизация и эволюция протоколов (IETF, RFC);
— безопасность ключевых систем Интернета и устойчивость инфраструктуры;
— архитектурная эволюция и внедрение новых технологий.

Автор:
Андрей Робачевский.
Издательство: Москва: Серпантин Эдженси, при участии ФРСТ «ИнДата», 2024.

#полезное #книги

⭐️ Сетевые абстракции для управления трафиком в Kubernetes

Когда в Kubernetes используется CNI вроде Kube-OVN, появляются удобные механизмы и объекты для публикации сервисов наружу и для исходящего трафика подов: EIP, FIP, VIP и правила NAT.

Зачем это нужно

📍Опубликовать сервис кластера во внешний мир по белому IP.
📍Дать подам выход в интернет через общий внешний адрес.
📍Балансировать трафик между несколькими подами.

Ключевые понятия

NAT — преобразование приватного IP пода в публичный для выхода в интернет.

SNAT: исходящий трафик подов идёт наружу через общий внешний IP.

DNAT: входящий трафик на внешний IP направляется на внутренний адрес.

EIP (Elastic IP) — внешний (public) IP из провайдерской сети, привязанный к шлюзу/VPC Kube-OVN и используемый в правилах SNAT/DNAT.

FIP (Floating IP)— двунаправленный 1:1 NAT: внешний IP сопоставляется с внутренним IP (пода или VIP), работает и для входящего трафика, и для ответов.

VIP (OVN Load Balancer) — виртуальный адрес балансировщика, который распределяет трафик по подам. Чтобы сделать VIP доступным извне, сопоставьте ему FIP.

🔍 Например:

Публикация сервиса: «VIP 10.16.0.100 балансирует три пода payments, а FIP 203.0.113.10 делает этот VIP доступным из интернета по одному белому IP».

Исходящий трафик подов: «Все поды неймспейса prod выходят в интернет через SNAT с общего EIP 198.51.100.20, поэтому снаружи они выглядят как один адрес».

Почему это удобно

📍Декларативно: всё описывается манифестами через CRD Kube-OVN.

📍Подходит для мультиарендности: правила изолируются на уровне VPC/неймспейсов.

📍Прозрачно для приложений: меняется сетевой путь, а не код.

#заметкиИнженера

👍 База по типам сервисов k8s

Шпаргалка по доступу к приложениям.

#полезное

🌐 Bonding и Bridging: объединяем сетевые интерфейсы в Linux

В работе с Linux-сетями часто нужно объединять сетевые интерфейсы для повышения отказоустойчивости, производительности или организации локальных сетей.

💎 Bond
Объединение нескольких сетевых интерфейсов в один логический с общим IP-адресом.

Основные режимы:
— mode=1 (active-backup): Один интерфейс активен, остальные в резерве
— mode=4 (802.3ad): Динамическая агрегация каналов (LACP)
— mode=0 (balance-rr): Round-robin балансировка

💎 Bridging
Создание виртуального коммутатора между интерфейсами. Часто используется в виртуализации.

Типичные сценарии:

— Соединение виртуальных машин с физической сетью
— Объединение сетей на разных интерфейсах
— Создание прозрачного firewall

Bond обеспечивает отказоустойчивость и производительность, а Bridge создаёт виртуальный коммутатор для контейнеров или VM.

#линуксятина

🐈 ВЕБИНАР

По многочисленным просьбам мы сделали невозможное и вебинару быть!

Трансляция очного выступления Вероники Нечаевой 🤗

Ответственность за ПДн в 2025: реалии операторов.

🎙 9 ОКТЯБРЯ в 10:30 Мск) обсудим:

👀 Что поменялось в КоАП с 30 мая 2025 и чем это грозит бизнесу, CISO, DPO и юристам — коротко, по делу.

👀 За что сейчас штрафуют: утечки, отсутствие уведомлений, ошибки в обработке (в том числе у обработчиков). Как и в какие сроки сообщать в РКН — 24/72 часа.

👀 Как пройти проверку РКН без паники: что держать под рукой, какие логи и документы нужны. Разберём трансграничку-2025 и частые ошибки на кейсах.

👀 Если инцидент уже случился: пошаговый план, как сократить ущерб и снизить санкции.

💟 Любимый вами формат вопрос\ответ

🫥 Регистрация по ссылке

🩺 tcpdump — анализатор сетевого трафика в Linux

"Рентген" для вашей сети, который показывает каждый пакет.
Один из старейших и самых мощных сетевых анализаторов, появившийся еще в 1988 году.

📍Что умеет:
— Перехват и анализ сетевых пакетов в реальном времени
— Фильтрация трафика по протоколам, портам, IP-адресам
— Сохранение дампов трафика в файлы для последующего анализа
— Декодирование различных сетевых протоколов

📍Примеры использования:

Базовый перехват трафика на интерфейсе:

tcpdump -i eth0

Только HTTP-трафик (порт 80):

tcpdump -i eth0 port 80

Трафик до/от конкретного хоста:

tcpdump host 8.8.8.8

Трафик по конкретному протоколу:

tcpdump tcp

Сохранить трафик в файл для анализа в Wireshark:

tcpdump -w capture.pcap -i eth0

🤓 tcpdump использует тот же механизм фильтрации пакетов (BPF — Berkeley Packet Filter), что и многие другие инструменты, включая Wireshark. Это позволяет писать сложные фильтры на специальном языке, который компилируется в байт-код для максимальной производительности.

📍Преимущества:
— Работает в консоли без графического интерфейса
— Минимальное потребление ресурсов
— Можно использовать в скриптах для автоматизации
— Поддерживает все основные сетевые протоколы

#полезное

🎙 9 октября встречаемся в АГУ на секции:
Ответственность за ПДн в 2025: реалии операторов.

Спикер - Вероника Нечаева 👏

Для тех кто придёт лично ➡️РЕГИСТРАЦИЯ ТУТ

Для участников из других городов будет прямая трансляция

Что обсудим:

👀 Что поменялось в КоАП с 30 мая 2025 и чем это грозит бизнесу, CISO, DPO и юристам — коротко, по делу.

👀 За что сейчас штрафуют: утечки, отсутствие уведомлений, ошибки в обработке (в том числе у обработчиков). Как и в какие сроки сообщать в РКН — 24/72 часа.

👀 Как пройти проверку РКН без паники: что держать под рукой, какие логи и документы нужны. Разберём трансграничку-2025 и частые ошибки на кейсах.

👀 Если инцидент уже случился: пошаговый план, как сократить ущерб и снизить санкции.

💟 Любимый вами формат вопрос\ответ

P. S. Участие бесплатное. Регистрация обязательна.
❕Внимание, на очное мероприятие количество мест ограничено.

🙈 ...кажется пора проверить почту

Но это не точно 🤔

P.S. С понедельником

😊 «Отправьте мне результаты обследования в вацапе?»
— частая фраза, которую произносят клиенты в клинике.

Звучит как угроза — для оператора ПДн это реальные риски и штрафы.

Банк оштрафовали на 200 000 ₽ за передачу ПДн в запрещенном мессенджере.

❕ 152-ФЗ сегодня про защиту на практике (не только на бумаге).

Чтобы всё это соблюсти, обычно есть «два пути»:
1. Делать точечно и жить от проверки до проверки;
2. Выстроить системную архитектуру под ПДн.

Именно второй путь выбрал наш клиент — сеть клиник «Добрый доктор».

«…ещё на этапе консультаций специалисты CORTEL выстроили всю линию — от нашего железа до софта и способа, которым будем реплицироваться».
— Денис Шалгин, замдиректора по ИТ сети «Добрый доктор».

📞 Задача стояла многоуровневая

— Выполнить 152-ФЗ «под ключ» для ИС с ПДн с учётом статуса КИИ.

— Перенести внутренние ИТ-системы в защищённый сегмент SafeCloud 152-ФЗ.

— Обеспечить непрерывность сервисов и целевой SLA: максимум до 20 минут недоступности.

— Настроить репликацию БД на мощностях CORTEL, резервные копии в облаке, резервирование ВМ для DR-сценариев.

— Закрыть требования средствами защиты: МСЭ, СОВ, САВЗ, САЗ, СЗИ от НСД, криптошлюз, мониторинг, портал самообслуживания.

— Снизить CAPEX на «железо» и при этом увеличить доступные вычислительные ресурсы.

— Навести порядок в доступах, шифровании, логировании и контроле подрядчиков — чтобы соответствовать практике проверок, а не только «бумаге».

⭐️ Решение и внедрение

✅Предпроект → целевая архитектура.

Обследование ИС с ПДн, фиксация RTO/RPO и SLA, проектирование защищённого сегмента SafeCloud 152-ФЗ и потоков данных.

✅Подготовка среды

Выделение изолированного сегмента, ключи/сертификаты, базовые политики доступа и сетевые правила.

✅Миграция критичных сервисов

Перенос внутренних ИТ-систем в сегмент без остановки ключевых процессов; первичная валидация.

✅Отказоустойчивость по умолчанию

Настройка репликации БД на мощностях CORTEL, включение облачных бэкапов, подготовка резерва ВМ для DR-переключений.

✅Средства Защиты

Межсетевой экран (МСЭ); система обнаружения вторжений (СОВ); средства антивирусной защиты (САВЗ); система анализа защищённости (САЗ); средства защиты информации от несанкционированного доступа (СЗИ от НСД); криптошлюз; централизованный мониторинг и журналирование.

✅DR-тесты и инциденты

Проверка сценариев переключения в целевые окна, алерты и регламенты уведомлений.

✅Эксплуатация 24/7

Передача в поддержку с персональным менеджером, закрепление SLA (макс. 20 минут недоступности) и процедур регулярных проверок.


🚩 Что получилось в итоге — читайте здесь

#изПрактик

📝 Порядок в ПДн: с чего начать?

Прежде чем переписывать регламенты или готовиться к проверкам, нужно понять: что есть сейчас, как это работает и где уязвимости.
Аудит даёт карту реальности и список приоритетов.

💬 Чем отличается аудит ИБ от аудита ИБ по ПДн?

🔵Цель
— Аудит ИБ — шире: общая устойчивость и управляемость безопасности (процессы, доступы, инциденты, техмеры).
— Аудит ИБ по ПДн — уже и глубже: законность и защита именно персональных данных, соответствие 152-ФЗ и требованиям регуляторов.

🔵Что проверяется
— Аудит ИБ: политики, роли, управление доступами, сегментация, журналирование, резервные копии, реагирование на инциденты и др.
— Аудит по ПДн: правовые основания и согласия, перечень ИСПДн, сроки хранения/уничтожения, уровень защищённости ИСПДн, достаточность реализованных технических и организационных мер защиты информации и с помощью чего они достигаются и др.

🔵Итоги
— Аудит ИБ: оценка текущей ситуации и рисков.
— Аудит по ПДн: оценка соответствия 152-ФЗ и подзаконным актам и понятный план корректирующих мер.

💬 Как провести аудит ИБ по ПДн (пошаговые рекомендации)

✅ Определить цели и границы аудита.
✅ Собрать и зафиксировать применимые требования.
✅ Составить план работ и перечень артефактов.
✅ Провести анализ документов, орг- и техмер.
✅ Проверить законность обработки ПДн.
✅ Зафиксировать нарушения и оценить риски.
✅ Сформировать план корректирующих мер с дедлайнами.
✅ Назначить контроль исполнения и периодические ревизии.

Подробную инструкцию читайте здесь

#проИБ

🤪 Порядок в ПДн: подборка статей в формате вопрос/ответ

💬 Инструкция по выполнению требований 152-ФЗ.
💬 Согласие, уведомление, политика по ПДн: когда нужны и что в них важно?
💬 Поручение и передача ПДн: в чём разница, кто отвечает и когда что оформлять
💬 Что проверяют регуляторы и где проходит граница контролируемой зоны.

🎙 Остался 1 день!

Уже в этот четверг, 9 октября, встречаемся в АГУ на секции:
Ответственность за ПДн в 2025: реалии операторов.

Спикер - Вероника Нечаева 👏

Для тех кто придёт лично ➡️РЕГИСТРАЦИЯ ТУТ

📹 Для участников из других городов будет ПРЯМАЯ ТРАНСЛЯЦИЯ

P. S. Участие бесплатное. Регистрация обязательна.

🟡 Cilium Network Policies — безопасность на уровне eBPF

Используя eBPF (extended Berkeley Packet Filter), Cilium реализует расширенные сетевые политики Kubernetes, фильтруя трафик на уровне ядра Linux. Этот подход исключает оверхед iptables/nftables и обеспечивает высокую производительность с точным контролем трафика.

💬 Уровни контроля

L3/L4 (IP/порт) + L7 для поддерживаемых протоколов (HTTP/HTTP/2, gRPC) через встроенный Envoy.

💬 Как это работает?

Cilium генерирует eBPF-программы на основе YAML-политик и загружает их в ядро. Политики применяются к подам (и/или узлам) через селекторы.

💬 Зачем это нужно?

Сегментация трафика, блокировка нежелательных подключений, построение моделей Zero Trust и выполнение требований комплаенса. По умолчанию поды в Kubernetes общаются свободно, что опасно в мультиарендных кластерах.

Примеры

📍Deny-all в namespace — запретить весь входящий и исходящий трафик:

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: deny-all
  namespace: default
spec:
  endpointSelector: {}
  ingressDeny:
    - {}
  egressDeny:
    - {}

📍 Заблокировать вход на порт 6379 (Redis) для подов app=redis:

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: block-redis-ingress-6379
  namespace: default
spec:
  endpointSelector:
    matchLabels:
      app: redis
  ingressDeny:
    - toPorts:
        - ports:
            - port: "6379"
              protocol: TCP

Cilium превращает сетевую безопасность из рутинной обязанности в рабочий инструмент для построения Zero-Trust-архитектур в Kubernetes. Must-have там, где важны безопасность и производительность.

#заметкиИнженера

📝 Шпаргалка по сетевой безопасности: угрозы на всех уровнях OSI

Наглядная схема от ByteByteGo, показывающая основные уязвимости и атаки на каждом из 7 уровней сетевой модели — от физического вмешательства до DDoS на уровне приложений.

#полезное #красивое

🖥 Вредоносное ПО в Linux

Штатные утилиты для обнаружения и обезвреживания вредоносов.

💬Процессы и автозапуск

ps / pgrep / top / htop — ищем «левые» процессы, аномальный расход CPU/RAM.

ps aux --sort=-%cpu | head        # топ-«прожорливые» по CPU
ps aux --sort=-%mem | head        # топ по памяти
pgrep -a -f "curl|wget|perl|php"  # процессы, часто встречающиеся в малвари

systemctl / service — неизвестные юниты/демоны в автозапуске.

systemctl list-unit-files --type=service | grep enabled
systemctl status suspicious.service

💬Сеть и соединения

ss / netstat — кто слушает порты и куда установлены сессии.

ss -lptn                               # слушающие порты + PID/процессы
ss -tp 'state established'             # активные TCP-сессии

lsof — какие процессы держат файлы/сокеты, в т.ч. «удалённые» бинарники.

sudo lsof -i
sudo lsof +L1 | head                   # запущенные, но удалённые файлы

💬Файлы, изменения и права

grep — быстрый поиск характерных паттернов.

grep -R --line-number -E 'base64_decode|eval\(|system\(|shell_exec\(' /var/www 2>/dev/null

lsattr / chattr — проверка «immutable»-атрибута.

sudo lsattr -R /var/www
# при необходимости снять:
# sudo chattr -i /path/to/file

💬Логи и следы взлома

last / lastb / w — логины и неудачные попытки.

last | head
sudo lastb | head
w

💬Учётные записи и ключи

/etc/passwd — двойные UID 0, «левые» системные пользователи. authorized_keys — подмена ключей.

awk -F: '($3==0){print}' /etc/passwd
sudo grep -R -n '' /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys 2>/dev/null

💬Шаги реагирования

Остановить подозрительный сервис/процесс:

sudo systemctl stop suspicious.service
sudo kill -9 <PID>

Запретить автозапуск и убрать юнит:

sudo systemctl disable --now suspicious.service
sudo rm -f /etc/systemd/system/suspicious.service
sudo systemctl daemon-reload

Удалить «крюк» в cron/профилях, вернуть права/атрибуты, очистить временные каталоги.

#линуксятина

Сейчас Вероника рассказывает про кейсы обработки ПДН на реальных примерах.

Присоединяйтесь 🥳

👉 ПРЯМАЯ ТРАНСЛЯЦИЯ

🤗 Спасибо всем за участие в мероприятии!

Вероника еще успела дать мини интервью 🥰

В завершение темы персональных данных мы собрали подборку статей с подсказками и разъяснениями:

✅ Что смотрит Роскомнадзор при проверках
✅ Биометрия, политика обработки, оценка эффективности.
✅ Персональные данные медицинских организаций
✅ Персональные данные на сайте компании: главные правила

Video by: Медиа.Hub

❤️ Пропустили выступление Вероники?

На следующей неделе будет сразу два шанса!

💎15 октября. Форум ITSEC*

Тема: «152-ФЗ без простоев: один контур защиты для ритейла, медицины и финансов»

💎16 октября. ГАРДА. Сохранить ВСЁ*

Тема: «Гибридные угрозы: кибершпионаж, дезинформация, саботаж»

*Регистрация и условия участия ищите на официальных сайтах мероприятий.