Forwarded from Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶
Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.
Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.
Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта😨 . Система умеет проводить глубокую инспекцию пакетов (DPI) с ML-классификаторами, блокируя протоколы, домены и анализируя шифрованный трафик по метаданным. В Мьянме, например, в ее базе уже 281 VPN-сервис для блокировки. Но это не просто файрвол. Это полноценная платформа для MITM-атак на уровне государства. Она может перехватывать нешифрованный трафик (в утечке есть примеры email'ов с вложениями) и, что самое страшное, внедрять вредоносный код прямо в трафик на стороне провайдера.
В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако😱
Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (
Что будет дальше? Дальше будет толькохуже веселее. ML-модели будут все лучше отличать неправильный трафик (QUIC, ECH), а универсальные VPN будут жить все меньше. Скорее всего, мы увидим переход к мягким белым спискам, когда по умолчанию будет деградировать весь неопознанный шифрованный трафик. И, конечно, экспорт репутационных систем, когда для выхода в интернет понадобится KYC.
В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну🎩
Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города
Типичный🥸 Сисадмин
Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.
Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.
Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта
В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако
Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (
monitor и interfere). И она случайно переключалась в режим interfere прямо во время массовых протестов. Это не баг, это фича.Что будет дальше? Дальше будет только
В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну
Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯7🫡1
kubechecks
kubechecks позволяет пользователям Github и Gitlab точно видеть, как их изменения повлияют на текущие развертывания ArgoCD, а также автоматически запускать различные наборы тестов на соответствие перед объединением.
📌 Подробнее: https://github.com/zapier/kubechecks
MemOps🤨
kubechecks позволяет пользователям Github и Gitlab точно видеть, как их изменения повлияют на текущие развертывания ArgoCD, а также автоматически запускать различные наборы тестов на соответствие перед объединением.
📌 Подробнее: https://github.com/zapier/kubechecks
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - zapier/kubechecks: Check your Kubernetes changes before they hit the cluster
Check your Kubernetes changes before they hit the cluster - zapier/kubechecks
👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁23
Новая альфа-функция Kubernetes v1.34 позволяет задавать переменные окружения приложения через init-контейнер и файл в emptyDir. Это упрощает конфигурацию и снижает количество API-вызовов, сохраняя при этом гибкость управления окружением.
📌 Подробнее: https://kubernetes.io/blog/2025/09/10/kubernetes-v1-34-env-files/
MemOps🤨
📌 Подробнее: https://kubernetes.io/blog/2025/09/10/kubernetes-v1-34-env-files/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Kubernetes
Kubernetes v1.34: Use An Init Container To Define App Environment Variables
Kubernetes typically uses ConfigMaps and Secrets to set environment variables, which introduces additional API calls and complexity, For example, you need to separately manage the Pods of your workloads and their configurations, while ensuring orderly updates…
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝12
Using Terraform with GitLab
📌 Подробнее: https://scalr.com/learning-center/using-terraform-with-gitlab
MemOps🤨
📌 Подробнее: https://scalr.com/learning-center/using-terraform-with-gitlab
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Scalr Learning Center
Using Terraform with GitLab
This guide describes how to use Terraform with GitLab, covering CI/CD, State, Modules, and Security.
❤3
Наглядное руководство по туннелированию SSH и переадресации портов
Темы: сценарии использования, конфигурация, SSH jumphosts, локальная/удаленная/динамическая переадресация портов и ограничения
📌 Подробнее: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/
MemOps🤨
Темы: сценарии использования, конфигурация, SSH jumphosts, локальная/удаленная/динамическая переадресация портов и ограничения
📌 Подробнее: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Ittavern
Visual guide to SSH tunneling and port forwarding - Ittavern.com
Sysadmin doing syadmin stuff
❤3
Kubernetes v1.34: улучшенная точность планирования подов
В версии v1.34 функция Mutable CSI Node Allocatable перешла в бета. Теперь CSI-драйверы могут динамически обновлять данные о доступных томах на нодах, что снижает ошибки при запуске stateful подов и повышает надёжность кластеров.
📌 Подробнее: https://kubernetes.io/blog/2025/09/11/kubernetes-v1-34-mutable-csi-node-allocatable-count/
MemOps🤨
В версии v1.34 функция Mutable CSI Node Allocatable перешла в бета. Теперь CSI-драйверы могут динамически обновлять данные о доступных томах на нодах, что снижает ошибки при запуске stateful подов и повышает надёжность кластеров.
📌 Подробнее: https://kubernetes.io/blog/2025/09/11/kubernetes-v1-34-mutable-csi-node-allocatable-count/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Kubernetes
Kubernetes v1.34: Mutable CSI Node Allocatable Graduates to Beta
The functionality for CSI drivers to update information about attachable volume count on the nodes, first introduced as Alpha in Kubernetes v1.33, has graduated to Beta in the Kubernetes v1.34 release! This marks a significant milestone in enhancing the accuracy…
👍2
Забудьте о Kubernetes: в видео показан интересный подход к организации Docker контейнеров в домашней лаборатории. Вместо использования решений вроде Kubernetes, в видео предлагается настройка на виртуальной машине с Debian, с привязкой томов. А ещё в видео демонстрируется использование нескольких полезных Docker контейнеров, таких как Fresh RSS для удобного чтения новостей, Jellyfin для медиастриминга и Netbird для создания безопасных сетевых соединений.
📌 Подробнее: https://www.youtube.com/watch?v=Z5aGH4XltP4&
MemOps🤨
📌 Подробнее: https://www.youtube.com/watch?v=Z5aGH4XltP4&
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Forget Kubernetes, This Is How I Run my Docker Containers
https://lawrence.video/netbird
Ever wonder what Docker containers I actually run? In this video, I’ll walk you through my setup from running Docker on a single Debian 13 VM with simple bind mounts, to the containers I use which are listed in the forum link…
Ever wonder what Docker containers I actually run? In this video, I’ll walk you through my setup from running Docker on a single Debian 13 VM with simple bind mounts, to the containers I use which are listed in the forum link…
😁3🌚2
Docker 101: Фоновые контейнеры, логи и потоки STDIO
В продакшене чаще всего приходится иметь дело с фоновыми контейнерами. Практикуемся в получении их логов и повторном подключении к потокам STDIO.
📌 Подробнее: https://labs.iximiuz.com/challenges/docker-101-container-run-in-background
MemOps🤨
В продакшене чаще всего приходится иметь дело с фоновыми контейнерами. Практикуемся в получении их логов и повторном подключении к потокам STDIO.
📌 Подробнее: https://labs.iximiuz.com/challenges/docker-101-container-run-in-background
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
iximiuz Labs
Docker 101: Run a Container in Background, Read Logs, and Attach | Challenge
Practice starting containers in "detached" mode, leaving them running in the background, reading their logs, and re-attaching to them.
👍4
Мониторинг Celery. Pull-модель
В этой статье рассмотрена возможность получения метрик Celery непосредственно от самих воркеров, хитрости, на которые придётся пойти, чтобы решить эту задачу, и, самое главное, какие преимущества от этого можно получить по сравнению с классическим подходом к мониторингу Celery. Также продемонстрирую небольшой Django-проект и пример его конфигурации. Особое внимание будет уделено режиму мультипроцессинга и тому, как та или иная конфигурация запуска Celery будет влиять на сложность решения.
📌 Подробнее: https://habr.com/ru/companies/domclick/articles/942584/
MemOps🤨
В этой статье рассмотрена возможность получения метрик Celery непосредственно от самих воркеров, хитрости, на которые придётся пойти, чтобы решить эту задачу, и, самое главное, какие преимущества от этого можно получить по сравнению с классическим подходом к мониторингу Celery. Также продемонстрирую небольшой Django-проект и пример его конфигурации. Особое внимание будет уделено режиму мультипроцессинга и тому, как та или иная конфигурация запуска Celery будет влиять на сложность решения.
📌 Подробнее: https://habr.com/ru/companies/domclick/articles/942584/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Мониторинг Celery. Pull-модель
В этой статье рассмотрим возможность получать метрики Celery непосредственно от самих воркеров, хитрости, на которые придётся пойти, чтобы решить эту задачу, и, самое главное, какие преимущества от...
👍4