Linux-инсайт: shell - это просто обычная программа
Ваш терминал не разговаривает с ядром напрямую магическим языком. Shell - это обычная userspace-программа. Просто таких программ целое семейство:
С точки зрения ядра все они делают примерно одну и ту же работу:
- читают байты из file descriptor
- парсят их как командный язык
- вызывают
- вызывают
- запускают другие программы
Разница почти вся живёт в userspace: какой синтаксис shell принимает, насколько он удобен в интерактивной работе, насколько строго следует POSIX и какие расширения добавляет сверху.
POSIX описывает shell-язык, который часто называют просто
Поэтому
Небольшой сюрприз: в Debian и Ubuntu
может вести себя не так, как вы ожидаете, если вы писали его «как bash-скрипт».
Проверьте у себя:
И вы увидите, какой shell реально стоит за /bin/sh на вашей машине.
Ваш терминал не разговаривает с ядром напрямую магическим языком. Shell - это обычная userspace-программа. Просто таких программ целое семейство:
bash, zsh, fish, dash, ksh, ash, встроенный shell из BusyBox.С точки зрения ядра все они делают примерно одну и ту же работу:
- читают байты из file descriptor
- парсят их как командный язык
- вызывают
fork- вызывают
exec- запускают другие программы
Разница почти вся живёт в userspace: какой синтаксис shell принимает, насколько он удобен в интерактивной работе, насколько строго следует POSIX и какие расширения добавляет сверху.
POSIX описывает shell-язык, который часто называют просто
sh. Большинство shell реализуют его как базу, а потом добавляют свои фичи.Поэтому
bash и dash - это не «разные терминалы». Это разные реализации одной идеи.Небольшой сюрприз: в Debian и Ubuntu
/bin/sh обычно не bash, а dash. Он проще, меньше и стартует быстрее. Поэтому скрипт с первой строкой:
#!/bin/sh
может вести себя не так, как вы ожидаете, если вы писали его «как bash-скрипт».
Проверьте у себя:
readlink -f /bin/sh
И вы увидите, какой shell реально стоит за /bin/sh на вашей машине.
👍6❤2🔥2
Открываете Grafana и видите 50 дашбордов «из коробки», но не понимаете ни один.
Копируете PromQL со Stack Overflow, потому что писать с нуля долго и непонятно.
200 алертов в день, критичных — три, и их не видно в общем шуме.
Не нужно учить всё это месяцами, пройдём полный путь за час.
23 июня в 12:00 — вебинар Deckhouse Академии. 60 минут, один живой сюжет, ноль воды.
Регистрация
Копируете PromQL со Stack Overflow, потому что писать с нуля долго и непонятно.
200 алертов в день, критичных — три, и их не видно в общем шуме.
Не нужно учить всё это месяцами, пройдём полный путь за час.
23 июня в 12:00 — вебинар Deckhouse Академии. 60 минут, один живой сюжет, ноль воды.
Что покажем в эфире:
– как формируется metric и почему «удобный» label вроде user_id может взорвать кардинальность и заполнить всё хранилище;
– Prom++ против ванильного Prometheus: экономия памяти от ~10x и причины этой экономии (реестр ПО № 28605);
– модуль monitoring-custom в DKP или как начать собирать метрики без правок scrape_config;
– базовую агрегацию метрики;
– Alert Rule с for и keep_firing_for: как сделать «нешумный» алерт;
– как настроить отправку уведомлений и получить алерт.
Регистрация
❤4😁1
Linux tip: когда процесс завис, не убивайте его вслепую
Если процесс завис, не обязательно сразу делать
Можно подключиться к нему через
Команда:
Что это даёт:
видно, читает ли процесс данные
видно, пишет ли он куда-то
видно, какие файлы открывает
можно понять, ждёт ли он stdin, файл, сокет или pipe
не нужно менять код
не нужно перезапускать сервис
Например, если программа «висит», strace может показать, что она просто ждёт read() из file descriptor. То есть проблема не в CPU, не в deadlock и не в магии Linux, а в том, что процесс ждёт ввод.
Это особенно полезно в проде, когда нельзя просто взять и перезапустить сервис ради эксперимента.
Базовый сценарий:
И дальше вы видите, чем процесс реально занят.
strace - один из тех инструментов, которые превращают «оно зависло» в нормальный технический диагноз.
Если процесс завис, не обязательно сразу делать
kill -9 и гадать, что там произошло.Можно подключиться к нему через
strace и посмотреть в реальном времени, на каком системном вызове он застрял.Команда:
strace -p <PID> -e trace=read,write,open
Что это даёт:
видно, читает ли процесс данные
видно, пишет ли он куда-то
видно, какие файлы открывает
можно понять, ждёт ли он stdin, файл, сокет или pipe
не нужно менять код
не нужно перезапускать сервис
Например, если программа «висит», strace может показать, что она просто ждёт read() из file descriptor. То есть проблема не в CPU, не в deadlock и не в магии Linux, а в том, что процесс ждёт ввод.
Это особенно полезно в проде, когда нельзя просто взять и перезапустить сервис ради эксперимента.
Базовый сценарий:
pidof my_process
sudo strace -p <PID> -e trace=read,write
И дальше вы видите, чем процесс реально занят.
strace - один из тех инструментов, которые превращают «оно зависло» в нормальный технический диагноз.
👍16🔥8❤6
Рэй Брэдбери бы оценил: запрещённые книги теперь прячут в умных лампочках
Энтузиаст разобрал обычную Wi-Fi лампочку и превратил её микроконтроллер ESP32-C3 в маленький автономный веб-сервер.
Получился почти сюжет из «451 градуса по Фаренгейту»: лампа создаёт открытую Wi-Fi сеть, открывает портал и даёт читать книги, которые запрещали или ограничивали в школах.
SD-карту в тесный корпус встроить не удалось, поэтому библиотека живёт прямо во встроенной памяти. Всего 4 МБ, но для текста этого хватает.
Самое забавное, что такие лампочки уже давно вышли за пределы «умного дома». На похожем железе поднимают Minecraft-серверы, запускают DOOM и теперь ещё прячут мини-библиотеки.
Будущее странное: раньше книги сжигали, теперь они раздаются из лампочки.
https://www.richardosgood.com/posts/banned-book-library/
Энтузиаст разобрал обычную Wi-Fi лампочку и превратил её микроконтроллер ESP32-C3 в маленький автономный веб-сервер.
Получился почти сюжет из «451 градуса по Фаренгейту»: лампа создаёт открытую Wi-Fi сеть, открывает портал и даёт читать книги, которые запрещали или ограничивали в школах.
SD-карту в тесный корпус встроить не удалось, поэтому библиотека живёт прямо во встроенной памяти. Всего 4 МБ, но для текста этого хватает.
Самое забавное, что такие лампочки уже давно вышли за пределы «умного дома». На похожем железе поднимают Minecraft-серверы, запускают DOOM и теперь ещё прячут мини-библиотеки.
Будущее странное: раньше книги сжигали, теперь они раздаются из лампочки.
https://www.richardosgood.com/posts/banned-book-library/
❤11👍2🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Хватит держать сервер нараспашку: базовый хардэнинг Linux за 8 шагов
Большинство серверов взламывают не через киношные zero-day, а через базовые ошибки: парольный SSH, открытые порты, root-вход и отсутствие бэкапов.
В этом ролике короткий чек-лист, как обезопасить Linux-сервер с нуля.
Первое: вход только по SSH-ключу, парольную авторизацию отключить.
Второе: запретить прямой вход под root и работать через sudo.
Третье: закрыть все лишние порты через UFW или iptables.
Четвёртое: регулярно ставить security updates.
Дальше: fail2ban против перебора паролей, двухфакторка там, где возможно, минимум прав для пользователей и сервисов.
И обязательно бэкапы. Не “когда-нибудь”, а по расписанию и отдельно от сервера.
Финальный слой: логи и мониторинг, чтобы видеть подозрительную активность до того, как сервер уже лег.
Минимум, который реально нужен: SSH-ключи, firewall, обновления, fail2ban и бэкапы.
Полезно бэкендерам, DevOps и всем, кто держит VPS или продакшен.
#Linux #сервер #безопасность #DevOps #SSH #fail2ban #firewall #VPS #хардэнинг #кибербезопасность #бэкапы #системноеадминистрирование
Большинство серверов взламывают не через киношные zero-day, а через базовые ошибки: парольный SSH, открытые порты, root-вход и отсутствие бэкапов.
В этом ролике короткий чек-лист, как обезопасить Linux-сервер с нуля.
Первое: вход только по SSH-ключу, парольную авторизацию отключить.
Второе: запретить прямой вход под root и работать через sudo.
Третье: закрыть все лишние порты через UFW или iptables.
Четвёртое: регулярно ставить security updates.
Дальше: fail2ban против перебора паролей, двухфакторка там, где возможно, минимум прав для пользователей и сервисов.
И обязательно бэкапы. Не “когда-нибудь”, а по расписанию и отдельно от сервера.
Финальный слой: логи и мониторинг, чтобы видеть подозрительную активность до того, как сервер уже лег.
Минимум, который реально нужен: SSH-ключи, firewall, обновления, fail2ban и бэкапы.
Полезно бэкендерам, DevOps и всем, кто держит VPS или продакшен.
#Linux #сервер #безопасность #DevOps #SSH #fail2ban #firewall #VPS #хардэнинг #кибербезопасность #бэкапы #системноеадминистрирование
👍10❤7🔥4✍1
⚙️ ASMLings - подробный гайд на русском
ASMLings - это набор из ~32 коротких упражнений на ассемблере Intel 8086, выстроенных по возрастанию сложности: от mov ax, 0x1337 до 32-битного сложения через carry flag, циклов, подпрограмм, работы с памятью и стеком.
Полный русскоязычный гайд по asmlings — интерактивной песочнице для изучения ассемблера Intel 8086, в которой 16-битный x86-эмулятор написан на Rust.
Внутри: что это, как устроено под капотом, как установить, как читать и решать упражнения, разборы реальных задач из репозитория, готовые примеры в examples/ и шпаргалки.
https://github.com/justxor/-ASMLingsru/
ASMLings - это набор из ~32 коротких упражнений на ассемблере Intel 8086, выстроенных по возрастанию сложности: от mov ax, 0x1337 до 32-битного сложения через carry flag, циклов, подпрограмм, работы с памятью и стеком.
Полный русскоязычный гайд по asmlings — интерактивной песочнице для изучения ассемблера Intel 8086, в которой 16-битный x86-эмулятор написан на Rust.
Внутри: что это, как устроено под капотом, как установить, как читать и решать упражнения, разборы реальных задач из репозитория, готовые примеры в examples/ и шпаргалки.
https://github.com/justxor/-ASMLingsru/
❤1👍1
А вы знали, что Linux тоже можно забэкдорить?
Многие считают Linux почти неуязвимым. Но это не так.
В 2024 году злоумышленник почти 2 года тихо встраивал бэкдор в XZ Utils - базовую библиотеку сжатия, которая есть почти во всех крупных Linux-дистрибутивах.
Целью был
Один разработчик заметил проблему только потому, что
Именно из-за этого бэкдор не успел попасть в production-системы по всему миру.
Linux не неуязвим. Просто долгое время он не был главной целью. Теперь это меняется.
Многие считают Linux почти неуязвимым. Но это не так.
В 2024 году злоумышленник почти 2 года тихо встраивал бэкдор в XZ Utils - базовую библиотеку сжатия, которая есть почти во всех крупных Linux-дистрибутивах.
Целью был
sshd. При наличии правильного ключа шифрования можно было внедрять код через SSH-сертификаты входа. Тихо, без алертов, внешне всё выглядело полностью легитимно.Один разработчик заметил проблему только потому, что
sshd стал запускаться примерно на 500 мс медленнее обычного.Именно из-за этого бэкдор не успел попасть в production-системы по всему миру.
Linux не неуязвим. Просто долгое время он не был главной целью. Теперь это меняется.
👍7❤4🔥4😁1
⚙️ Cloud-native в России начинает собирать собственный инженерный «core team»
Первая в России независимая некоммерческая ассоциация, которая занимается развитием облачно-ориентированных технологий (АОТ), формирует экспертный совет. В него войдут девять практиков, которые работают с Kubernetes и современной облачной инфраструктурой не в презентациях, а в продакшене.
Фокус ожидаемо инженерный:
- Kubernetes
- платформенные решения
- DevOps и DevSecOps
- безопасность облачных систем
- observability
- устойчивость инфраструктуры
- применение AI в разработке
Если раньше cloud-native был набором отдельных инструментов, то сейчас это уже полноценное направление со своим профессиональным сообществом, исследованиями и отраслевой повесткой.
Похоже, Kubernetes окончательно перестал быть просто оркестратором контейнеров и превратился в фундамент современной инфраструктуры.
https://kod.ru/aot-experts/amp
Первая в России независимая некоммерческая ассоциация, которая занимается развитием облачно-ориентированных технологий (АОТ), формирует экспертный совет. В него войдут девять практиков, которые работают с Kubernetes и современной облачной инфраструктурой не в презентациях, а в продакшене.
Фокус ожидаемо инженерный:
- Kubernetes
- платформенные решения
- DevOps и DevSecOps
- безопасность облачных систем
- observability
- устойчивость инфраструктуры
- применение AI в разработке
Если раньше cloud-native был набором отдельных инструментов, то сейчас это уже полноценное направление со своим профессиональным сообществом, исследованиями и отраслевой повесткой.
Похоже, Kubernetes окончательно перестал быть просто оркестратором контейнеров и превратился в фундамент современной инфраструктуры.
https://kod.ru/aot-experts/amp
👍7❤1
Редкий Docker-трюк для баз данных: отдельный volume под WAL
У Postgres есть место, куда он пишет журнал изменений: WAL.
Если база активно пишет данные, WAL может стать узким местом. В Docker его можно вынести в отдельный volume:
Зачем это нужно:
1. данные базы лежат отдельно
2. журнал транзакций лежит отдельно
3. проще мониторить рост WAL
4. меньше риска забить основной volume логами
Особенно полезно для staging, pet-проектов с нагрузкой и локальных стендов, где внезапно «почему Postgres сожрал весь диск».
Мелочь, но уже уровень не “я просто поднял базу в Docker”, а нормальная инженерная привычка.
У Postgres есть место, куда он пишет журнал изменений: WAL.
Если база активно пишет данные, WAL может стать узким местом. В Docker его можно вынести в отдельный volume:
services:
db:
image: postgres:16
environment:
POSTGRES_PASSWORD: postgres
POSTGRES_INITDB_WALDIR: /var/lib/postgresql/wal
volumes:
- pg_data:/var/lib/postgresql/data
- pg_wal:/var/lib/postgresql/wal
volumes:
pg_data:
pg_wal:
Зачем это нужно:
1. данные базы лежат отдельно
2. журнал транзакций лежит отдельно
3. проще мониторить рост WAL
4. меньше риска забить основной volume логами
Особенно полезно для staging, pet-проектов с нагрузкой и локальных стендов, где внезапно «почему Postgres сожрал весь диск».
Мелочь, но уже уровень не “я просто поднял базу в Docker”, а нормальная инженерная привычка.
❤8😁3👍1🔥1
А ваши данные в S3 надежно защищены?
Проверьте вашу инфраструктуру и узнайте несколько лайфхаков на вебинаре
30 июня эксперты Selectel расскажут об эффективных механизмах защиты данных в S3 под разные задачи: например, для защиты от случайного удаления или кибератак и для соответствия регуляторным требованиям. В практическом блоке покажут реальные примеры настройки S3 через API и CLI.
📍 Онлайн
⏰ 30 июня в 12:00
👥 Для DevOps-специалистов, системных администраторов, специалистов по информационной безопасности и всех, кто не хочет столкнуться с утечкой и удалением данных.
Регистрируйтесь ➡️ https://slc.tl/6ohvs
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFGhZPv9
Проверьте вашу инфраструктуру и узнайте несколько лайфхаков на вебинаре
30 июня эксперты Selectel расскажут об эффективных механизмах защиты данных в S3 под разные задачи: например, для защиты от случайного удаления или кибератак и для соответствия регуляторным требованиям. В практическом блоке покажут реальные примеры настройки S3 через API и CLI.
📍 Онлайн
⏰ 30 июня в 12:00
👥 Для DevOps-специалистов, системных администраторов, специалистов по информационной безопасности и всех, кто не хочет столкнуться с утечкой и удалением данных.
Регистрируйтесь ➡️ https://slc.tl/6ohvs
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFGhZPv9
10 GitHub-репозиториев, которые заставят вас навсегда забыть о платном ПО
Полностью бесплатно.
1.LocalSend / http://github.com/localsend/localsend
Воздушная передача файлов между платформами. Передача файлов между Windows, Mac, Linux, Android, iOS — без регистрации и облака
2.yt-dlp / http://github.com/yt-dlp/yt-dlp
Скачивание видео и аудио с любого сайта. YouTube, Bilibili, Twitter — всё покрыто, мощнее любого платного загрузчика
3.Stirling-PDF / http://github.com/Stirling-Tools/Stirling-PDF
Самостоятельный универсальный инструмент для PDF. Объединение, разделение, сжатие, конвертация в Word, добавление водяных знаков, OCR — замена всему семейству Adobe
4.FreeTube / http://github.com/FreeTubeApp/FreeTube
Десктопный плеер для YouTube. Без рекламы, без слежки, без аккаунта Google — что вы смотрите, знает только вы
5.Syncthing / http://github.com/syncthing/syncthing
Альтернатива Baidu Netdisk и iCloud. Прямая синхронизация файлов между устройствами, сквозное шифрование, данные не проходят через серверы третьих лиц
6.Vaultwarden / http://github.com/dani-garcia/vaultwarden
Самостоятельный менеджер паролей. Бесплатная замена 1Password и LastPass навсегда, данные хранятся только на вашем устройстве
7.Immich / http://github.com/immich-app/immich
Самостоятельный Google Фото. Автоматическое резервное копирование фото с телефона, распознавание лиц, поиск по ИИ — больше не платите аренду за хранилище ежемесячно
8.AdGuard Home / http://github.com/AdguardTeam/AdGuardHome
Блокировка рекламы по всей сети. Блокировка на уровне роутера — все устройства в доме, включая смарт-телевизоры, без рекламы
9.Jellyfin / http://github.com/jellyfin/jellyfin
Самостоятельный Netflix. Свои фильмы, сериалы и музыка — транслируйте сколько угодно, без ежемесячных платежей платформам
10.Uptime Kuma / http://github.com/louislam/uptime-kuma
Самостоятельная панель мониторинга. Следит за вашими сайтами и сервисами, мгновенно уведомляет о сбоях — замена платному мониторингу за $50 в месяц.
Полностью бесплатно.
1.LocalSend / http://github.com/localsend/localsend
Воздушная передача файлов между платформами. Передача файлов между Windows, Mac, Linux, Android, iOS — без регистрации и облака
2.yt-dlp / http://github.com/yt-dlp/yt-dlp
Скачивание видео и аудио с любого сайта. YouTube, Bilibili, Twitter — всё покрыто, мощнее любого платного загрузчика
3.Stirling-PDF / http://github.com/Stirling-Tools/Stirling-PDF
Самостоятельный универсальный инструмент для PDF. Объединение, разделение, сжатие, конвертация в Word, добавление водяных знаков, OCR — замена всему семейству Adobe
4.FreeTube / http://github.com/FreeTubeApp/FreeTube
Десктопный плеер для YouTube. Без рекламы, без слежки, без аккаунта Google — что вы смотрите, знает только вы
5.Syncthing / http://github.com/syncthing/syncthing
Альтернатива Baidu Netdisk и iCloud. Прямая синхронизация файлов между устройствами, сквозное шифрование, данные не проходят через серверы третьих лиц
6.Vaultwarden / http://github.com/dani-garcia/vaultwarden
Самостоятельный менеджер паролей. Бесплатная замена 1Password и LastPass навсегда, данные хранятся только на вашем устройстве
7.Immich / http://github.com/immich-app/immich
Самостоятельный Google Фото. Автоматическое резервное копирование фото с телефона, распознавание лиц, поиск по ИИ — больше не платите аренду за хранилище ежемесячно
8.AdGuard Home / http://github.com/AdguardTeam/AdGuardHome
Блокировка рекламы по всей сети. Блокировка на уровне роутера — все устройства в доме, включая смарт-телевизоры, без рекламы
9.Jellyfin / http://github.com/jellyfin/jellyfin
Самостоятельный Netflix. Свои фильмы, сериалы и музыка — транслируйте сколько угодно, без ежемесячных платежей платформам
10.Uptime Kuma / http://github.com/louislam/uptime-kuma
Самостоятельная панель мониторинга. Следит за вашими сайтами и сервисами, мгновенно уведомляет о сбоях — замена платному мониторингу за $50 в месяц.
❤6👍2🔥1
ИИ заставляет перестраивать инфраструктуру
Когда говорят про развитие ИИ, обычно обсуждают модели, агенты и новые возможности.
Но есть менее заметная проблема: всё это нужно где-то запускать. На infra.conf’26 Александр Чубинский из Яндекса рассказал, как компания перестраивает физическую и ML-инфраструктуру под растущие нагрузки.
Изменения происходят сразу на нескольких уровнях:
- вместо отдельных дата-центров развивают кампусы дата-центров мощностью до 180 МВт;
- внедряют жидкостное охлаждение, потому что традиционные подходы уже не всегда справляются с плотностью вычислений;
- запустили внутренний сервис Dev Cluster, который ускоряет эксперименты и разработку ML-моделей.
Чем больше ИИ, тем меньше это история только про софт.
Когда говорят про развитие ИИ, обычно обсуждают модели, агенты и новые возможности.
Но есть менее заметная проблема: всё это нужно где-то запускать. На infra.conf’26 Александр Чубинский из Яндекса рассказал, как компания перестраивает физическую и ML-инфраструктуру под растущие нагрузки.
Изменения происходят сразу на нескольких уровнях:
- вместо отдельных дата-центров развивают кампусы дата-центров мощностью до 180 МВт;
- внедряют жидкостное охлаждение, потому что традиционные подходы уже не всегда справляются с плотностью вычислений;
- запустили внутренний сервис Dev Cluster, который ускоряет эксперименты и разработку ML-моделей.
Чем больше ИИ, тем меньше это история только про софт.
👍2🖕2❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Основы Git и GitHub за 30 секунд: настройка, коммиты, ветки, Pull Request
GitHub пугает новичков не сложностью, а количеством команд, в которых легко утонуть в первый же день. Эта шпаргалка собирает весь базовый путь от пустого терминала до открытого Pull Request, чтобы не держать всё в голове и не гуглить каждый шаг.
Сначала первая настройка: задаёшь имя и email, иначе коммиты уходят непонятно от кого. Дальше старт работы: клонируешь репозиторий, заходишь в папку и сразу создаёшь свою ветку под задачу. Потом ежедневный цикл, который повторяется каждый день: status, pull, add, commit, push. Проверил, обновил, добавил, закоммитил, отправил. Отдельно блок полезных команд на каждый день: log с графом, diff, stash, branch и переключение на main.
GitHub пугает новичков не сложностью, а количеством команд, в которых легко утонуть в первый же день. Эта шпаргалка собирает весь базовый путь от пустого терминала до открытого Pull Request, чтобы не держать всё в голове и не гуглить каждый шаг.
Сначала первая настройка: задаёшь имя и email, иначе коммиты уходят непонятно от кого. Дальше старт работы: клонируешь репозиторий, заходишь в папку и сразу создаёшь свою ветку под задачу. Потом ежедневный цикл, который повторяется каждый день: status, pull, add, commit, push. Проверил, обновил, добавил, закоммитил, отправил. Отдельно блок полезных команд на каждый день: log с графом, diff, stash, branch и переключение на main.
❤2👍1🔥1