Forwarded from 📚Системный Администратор (RTFM)
Полезные команды Linux. Атрибуты файлов
#
#
#
#
#
#
#
#
📚@IT_obrazovach
#
chattr +a file
Разрешить только добавление данных в файл#
chattr +d file
Игнорировать данный файл при создании резервной копии#
chattr +c file
Разрешить ядру автоматически сжимать / разжимать содержимое файла#
chattr +i file1
Защитить файл от каких-либо изменений или манипуляций#
chattr +S file1
Определить будет ли произведена синхронизация при сохранении изменений#
chattr +u file1
При удалении файла с данным атрибутом, пользователь сможет восстановить данные в случае необходимости#
chattr +s file1
Позволить безвозвратное удаление данного файла#
lsattr
Листинг файлов с атрибутами📚@IT_obrazovach
1👍14😎4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁53😎10❤6
Инженеры перебрали... Linux-кейсов 🤩
23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами.
А ещё можно принести свой кейс на разбор и получить приз.
Подробности и регистрация по ссылке.
23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами.
А ещё можно принести свой кейс на разбор и получить приз.
Подробности и регистрация по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🤬3😎1
Вышла новая версия Rust Coreutils (uutils 0.8)
Уровень совместимости с эталонным тестовым набором GNU Coreutils достиг 94,74% (было 94,59%). Количество успешных тестов выросло до 630, число неудачных снизилось с 23 до 21.
В утилитах cat, df, wc, tty, tsort, tail, touch, date, mkdir и uucore перешли с nix на rustix, что позволило сократить объём unsafe-кода в hostname, logname, who и nice.
Оптимизировали производительность: dd ускорилась на 45%, numfmt — на 3%, остальные (ls, sort, wc, cat, tee, pr) тоже стали быстрее. Размер исполняемых файлов true, false и echo уменьшили.
Более 70 утилит (включая ls, head, cat, cp, mv, sort, tail) теперь можно собирать в WebAssembly с интерфейсом WASI — уже работает демо с интерактивным терминалом.
Linux / Линукс🥸
Уровень совместимости с эталонным тестовым набором GNU Coreutils достиг 94,74% (было 94,59%). Количество успешных тестов выросло до 630, число неудачных снизилось с 23 до 21.
В утилитах cat, df, wc, tty, tsort, tail, touch, date, mkdir и uucore перешли с nix на rustix, что позволило сократить объём unsafe-кода в hostname, logname, who и nice.
Оптимизировали производительность: dd ускорилась на 45%, numfmt — на 3%, остальные (ls, sort, wc, cat, tee, pr) тоже стали быстрее. Размер исполняемых файлов true, false и echo уменьшили.
Более 70 утилит (включая ls, head, cat, cp, mv, sort, tail) теперь можно собирать в WebAssembly с интерфейсом WASI — уже работает демо с интерактивным терминалом.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔20🤣3❤2🔥2👍1
15 апреля на вебинаре поговорим о том, как с нуля построить разработку в облаке
⚫️ Обсудим, зачем переносить разработку в облако, какие есть подводные камни
⚫️ Подготовим базовую инфраструктуру и развернëм ключевые сервисы разработки
⚫️ Соберём, протестируем и развернëм приложение в целевое окружение, оптимизируем раннеры для ускорения сборок
⚫️ Настроим безопасность: доступы, секреты, шифрование
⚫️ Подготовимся к продакшену и масштабированию
⚫️ Ответим на ваши вопросы
Присоединяйтесь! Узнайте, как с нуля построить и запустить инфраструктуру разработки в облаке MWS Cloud Platform.
📆 15 апреля в 14:00 (мск)
Зарегистрироваться
Присоединяйтесь! Узнайте, как с нуля построить и запустить инфраструктуру разработки в облаке MWS Cloud Platform.
📆 15 апреля в 14:00 (мск)
Зарегистрироваться
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🤣2
Практики, позволяющие повысить уровень информационной безопасности при работе с npm
В GitHub-репозитории есть разделы:
— npm Security Best Practices
— Secure Local Development Best Practices
— npm Maintainer Security Best Practices
— npm Package Health Best Practices
Каждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется. Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Linux / Линукс🥸
В GitHub-репозитории есть разделы:
— npm Security Best Practices
— Secure Local Development Best Practices
— npm Maintainer Security Best Practices
— npm Package Health Best Practices
Каждый из описанных выше разделов состоит из набора рекомендаций, перечень которых варьируется. Для каждой рекомендации приводятся некоторые советы и набор команд, в которых указано как её можно реализовать на практике.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣9
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣44💯5
Теперь требования к процессору и памяти у Ubuntu даже выше, чем у Windows
Linux / Линукс🥸
Ubuntu 26.04: процессор 2 ГГц, 6 ГБ ОЗУ
Windows 11: процессор 1 ГГц, 4 ГБ ОЗУ
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣90🤯12
Критическая уязвимость во Flatpak позволяет вредоносному приложению вырваться из песочницы и выполнить код на хост-системе
Разработчики Flatpak выпустили срочное обновление 1.16.4, закрывающее уязвимость CVE-2026-34078 с критическим уровнем опасности (9.3 из 10). Проблема заключается в сервисе flatpak-portal: он принимает пути в опции sandbox-expose, которые могут оказаться символическими ссылками, указывающими на произвольные части файловой системы хост-системы . Перед монтированием сервис раскрывает такую ссылку и подключает в изолированное окружение любой путь, на который она указывает. В результате вредоносное или скомпрометированное flatpak-приложение может получить полный доступ на чтение и запись к файлам хост-системы, а затем выполнить произвольный код вне режима изоляции — например, добавить автозапускаемый скрипт в ~/.bashrc или изменить ~/.ssh/authorized_keys .
В этом же обновлении исправлены ещё три уязвимости: CVE-2026-34079, позволяющая удалять произвольные файлы на хост-системе через манипуляции с очисткой кэша ld.so ; проблема с произвольным чтением файлов в контексте system-helper (GHSA-2fxp-43j9-pwvc) ; и уязвимость, позволяющая одному пользователю мешать другому отменять загрузку приложений (GHSA-89xm-3m96-w3jg) .
Патч уже доступен в стабильной ветке 1.16.4 , а также в экспериментальной 1.17.4. В качестве временной меры защиты можно отключить сервис flatpak-portal командами sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service, однако это может нарушить работу некоторых приложений.
Linux / Линукс🥸
Разработчики Flatpak выпустили срочное обновление 1.16.4, закрывающее уязвимость CVE-2026-34078 с критическим уровнем опасности (9.3 из 10). Проблема заключается в сервисе flatpak-portal: он принимает пути в опции sandbox-expose, которые могут оказаться символическими ссылками, указывающими на произвольные части файловой системы хост-системы . Перед монтированием сервис раскрывает такую ссылку и подключает в изолированное окружение любой путь, на который она указывает. В результате вредоносное или скомпрометированное flatpak-приложение может получить полный доступ на чтение и запись к файлам хост-системы, а затем выполнить произвольный код вне режима изоляции — например, добавить автозапускаемый скрипт в ~/.bashrc или изменить ~/.ssh/authorized_keys .
В этом же обновлении исправлены ещё три уязвимости: CVE-2026-34079, позволяющая удалять произвольные файлы на хост-системе через манипуляции с очисткой кэша ld.so ; проблема с произвольным чтением файлов в контексте system-helper (GHSA-2fxp-43j9-pwvc) ; и уязвимость, позволяющая одному пользователю мешать другому отменять загрузку приложений (GHSA-89xm-3m96-w3jg) .
Патч уже доступен в стабильной ветке 1.16.4 , а также в экспериментальной 1.17.4. В качестве временной меры защиты можно отключить сервис flatpak-portal командами sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service, однако это может нарушить работу некоторых приложений.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣27👍5❤4
FreeBSD Foundation запустила проект по тестированию на ноутбуках ⌨️
Некоммерческая организация FreeBSD Foundation представила инициативу по сбору данных о совместимости FreeBSD с современными ноутбуками. Цель в том, чтобы выявить проблемы и расставить приоритеты для улучшения поддержки мобильных устройств. Все отчёты будут публиковаться на сводной странице.
Участникам предлагают запустить скрипт run_hwprobe.sh, который автоматически собирает информацию о CPU, GPU, сетевых адаптерах, Wi-Fi, Bluetooth, накопителях, USB и загруженных модулях ядра. Затем вручную проверить по контрольному списку: спящий режим, индикаторы, экономию энергии, HDMI, аппаратное декодирование видео, высокоскоростной Wi-Fi, работу KDE и внешних мониторов. Результат отправляется как pull-запрос на GitHub.
Linux / Линукс🥸
Некоммерческая организация FreeBSD Foundation представила инициативу по сбору данных о совместимости FreeBSD с современными ноутбуками. Цель в том, чтобы выявить проблемы и расставить приоритеты для улучшения поддержки мобильных устройств. Все отчёты будут публиковаться на сводной странице.
Участникам предлагают запустить скрипт run_hwprobe.sh, который автоматически собирает информацию о CPU, GPU, сетевых адаптерах, Wi-Fi, Bluetooth, накопителях, USB и загруженных модулях ядра. Затем вручную проверить по контрольному списку: спящий режим, индикаторы, экономию энергии, HDMI, аппаратное декодирование видео, высокоскоростной Wi-Fi, работу KDE и внешних мониторов. Результат отправляется как pull-запрос на GitHub.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41❤5
Please open Telegram to view this post
VIEW IN TELEGRAM
😁81👍8❤6🔥1
Little Snitch наконец вышел на Linux (с eBPF и веб-интерфейсом)
Вышла первая Linux-версия легендарного межсетевого экрана для приложений Little Snitch (ранее только macOS). Программа позволяет в реальном времени отслеживать, куда именно обращаются приложения, блокировать нежелательные соединения, использовать списки блокировки (например, oisd.nl для рекламы и трекинга) и создавать белые списки. Блокировка работает по IP, подсетям и доменным именам.
Для инспектирования трафика в Linux задействована подсистема eBPF — BPF-обработчик загружается в ядро. Фоновый процесс написан на Rust (распространяется под проприетарной лицензией, но бесплатно), а управление осуществляется через веб-интерфейс на localhost:3031 (поддерживается PWA). Требуется ядро Linux 6.12 и новее.
Существует и открытый аналог OpenSnitch, но автор Linux-версии Little Snitch отметил, что тот ему не подошёл для быстрой блокировки соединений одним кликом.
Linux / Линукс🥸
Вышла первая Linux-версия легендарного межсетевого экрана для приложений Little Snitch (ранее только macOS). Программа позволяет в реальном времени отслеживать, куда именно обращаются приложения, блокировать нежелательные соединения, использовать списки блокировки (например, oisd.nl для рекламы и трекинга) и создавать белые списки. Блокировка работает по IP, подсетям и доменным именам.
Для инспектирования трафика в Linux задействована подсистема eBPF — BPF-обработчик загружается в ядро. Фоновый процесс написан на Rust (распространяется под проприетарной лицензией, но бесплатно), а управление осуществляется через веб-интерфейс на localhost:3031 (поддерживается PWA). Требуется ядро Linux 6.12 и новее.
Существует и открытый аналог OpenSnitch, но автор Linux-версии Little Snitch отметил, что тот ему не подошёл для быстрой блокировки соединений одним кликом.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
❤68😁15🔥10
Forwarded from Типичный Сисадмин
Параноики на месте?
В суде Техаса вскрылся эпичный прецедент. У подозреваемой изъяли Айфон. Само приложение Signal она удалила, а сообщения в нем вообще стояли на автоуничтожении. Казалось бы, E2E-шифрование, ключей нет, данных нет, Epic Win? Гуляй - веселись -
Хрен там плавал. ФБР сдампило системную базу данных пуш-уведомлений Apple (внутреннее хранилище iOS). Оказалось, что пока Signal удалял зашифрованные логи внутри своей песочницы, OS аккуратно складировала тексты всплывающих уведомлений в свой скрытый системный кэш. Извлекли все входящие сообщения до единого. Представьте лицо подозреваемой
Еще верите в Firebase и APNs? Или старая мантра про "мне нечего скрывать"?
Так вот... любой современный мессенджер, чтобы не жрать батарею, засыпает в фоне. Чтобы разбудить его при новом сообщении, используются системные костыли - Apple Push Notification service (APNs) или гугловский Firebase Cloud Messaging (FCM).
Проблема в том, что эти пуши летят через чужие корпоративные сервера. И даже если само тело сообщения зашифровано, метаданные (а иногда и куски текста для отображения на экране блокировки) оседают в недрах ОС и на серверах корпораций добра
В общем-то, это еще один пример того, что ты не хозяин своего железа. Пока ты юзаешь проприетарную ОС с закрытыми компонентами, ты живешь в Матрице
UID 0 в любой момент может слить твои данные Архитектору (иф ю мин).Поэтому приличному человеку с легкой, здоровой ИБ-паранойей категорически запрещено доверять стоковым прошивкам.
Единственный путь самурая:
А как же тогда получать уведомления? Использовать правильные FOSS-форки! Олдфаги помнят, как в том же опенсорсном Mercurygram (FOSS-форк ТГ, но заброшенный) полностью выпилили зонд от Firebase. Вместо пушей от Гугла там используется свой собственный Background Polling. Да, он жрет батарею чуть активнее, зато твой девайс держит прямое TCP-соединение с сервером мессенджера, минуя корпоративных прокладок-шпионов.
В 2026 году надеяться на приватность из коробки - это диагноз. Лучше вообще не надеяться и забыть слово "приватность" (в широком смысле). Ходить с нерутованным железом на заводской прошивке - это всё равно что гулять по улице с мигающим корпоративным зондом в одном месте, который по блютусу транслирует телеметрию твоего сфинктера прямиком в АНБ или другие три буквы
Рутуйте свои лопаты (пока это законно), режьте пуш-сервисы на корню и помните: то, что попало в Notification Center, остается там навсегда. А, да, точно - это же не удобно
С пятниц0й
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🌚8🔥3😢2🙏2
Cron-задание молчало 3 дня. Бэкап не выполнялся. Узнали от клиента, когда понадобилось восстановить данные.
UpRadar: добавляете уникальный URL в конец скрипта (curl), если скрипт не пингует за установленное время — алерт в Telegram.
UpRadar: добавляете уникальный URL в конец скрипта (curl), если скрипт не пингует за установленное время — алерт в Telegram.
❤4😁3🌚2
GNU nano 9.0 получил горизонтальную прокрутку и изменил поведение курсора у правого края
Вышла новая версия консольного редактора GNU nano 9.0 — того самого, который ставят по умолчанию в дистрибутивах, где vim считают слишком сложным.
Добавлена горизонтальная прокрутка комбинациями M-< и M->. Изменилось поведение при выходе курсора за правый край окна: теперь содержимое сдвигается влево, и курсор всегда остаётся в видимой области. Старое поведение можно вернуть опцией --solosidescroll.
Появилась возможность переназначать клавиши M-Left, M-Right, M-Up и M-Down. При записи макроса, если его сразу отменить, старый макрос не затирается. А с опциями --mouse и --indicator теперь можно кликать на полосу прокрутки для перемещения по буферу.
Linux / Линукс🥸
Вышла новая версия консольного редактора GNU nano 9.0 — того самого, который ставят по умолчанию в дистрибутивах, где vim считают слишком сложным.
Добавлена горизонтальная прокрутка комбинациями M-< и M->. Изменилось поведение при выходе курсора за правый край окна: теперь содержимое сдвигается влево, и курсор всегда остаётся в видимой области. Старое поведение можно вернуть опцией --solosidescroll.
Появилась возможность переназначать клавиши M-Left, M-Right, M-Up и M-Down. При записи макроса, если его сразу отменить, старый макрос не затирается. А с опциями --mouse и --indicator теперь можно кликать на полосу прокрутки для перемещения по буферу.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
❤37💯9👍8
За неделю выявили критические уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux
▪️ В GStreamer (до 1.28.2) три переполнения буфера в обработчиках MKV, MOV/MP4 и H.266/VVC позволяют удалённо выполнить код. Атака упрощается тем, что GNOME автоматически индексирует новые файлы в ~/Downloads.
▪️ В CUPS (исправлений пока нет) две удалённые дыры: CVE-2026-34980 позволяет неаутентифицированно выполнить код с правами пользователя lp через спецоформленное задание печати, а CVE-2026-34990 — повысить привилегии с lp до root через подмену принтера.
▪️ В wolfSSL 5.9.1 закрыли 21 уязвимость, включая критическую (CVE-2026-5194): отсутствие проверки размера хэша снижало стойкость цифровых подписей (ECDSA, ED25519, ML-DSA и др.), что позволяло обойти аутентификацию. Проблему нашёл AI.
▪️ В OpenSSL (3.6.2 и др.) семь уязвимостей. CVE-2026-31790 — утечка данных из неинициализированной памяти в RSA KEM RSASVE. CVE-2026-31789 — переполнение буфера в 32-битных системах при обработке сертификатов X.509.
▪️ В OpenClaw (2026.3.11) критическая уязвимость (10/10) CVE-2026-32922: команда /pair approve не проверяла полномочия, позволяя любому подключившемуся назначить себе права администратора. Ранее была CVE-2026-33579 с похожим эффектом. В сети найдено 135 тыс. открытых экземпляров OpenClaw, 63% из них доступны без аутентификации.
▪️ В Nix (исправлено в версиях 2.34.5 и новее) критическая уязвимость (9/10) CVE-2026-39860 — некорректное исправление CVE-2024-27297 позволяет перезаписать любой файл в системе, если фоновый процесс Nix работает с правами root (как в NixOS).
▪️ В ядре Linux исправлено 5 уязвимостей, найденных Claude Code. Одна из них (в драйвере NFS) позволяет через запросы к NFS-серверу читать память ядра и проявляется с ядра 2.6.0 (2003 год).
Linux / Линукс🥸
▪️ В GStreamer (до 1.28.2) три переполнения буфера в обработчиках MKV, MOV/MP4 и H.266/VVC позволяют удалённо выполнить код. Атака упрощается тем, что GNOME автоматически индексирует новые файлы в ~/Downloads.
▪️ В CUPS (исправлений пока нет) две удалённые дыры: CVE-2026-34980 позволяет неаутентифицированно выполнить код с правами пользователя lp через спецоформленное задание печати, а CVE-2026-34990 — повысить привилегии с lp до root через подмену принтера.
▪️ В wolfSSL 5.9.1 закрыли 21 уязвимость, включая критическую (CVE-2026-5194): отсутствие проверки размера хэша снижало стойкость цифровых подписей (ECDSA, ED25519, ML-DSA и др.), что позволяло обойти аутентификацию. Проблему нашёл AI.
▪️ В OpenSSL (3.6.2 и др.) семь уязвимостей. CVE-2026-31790 — утечка данных из неинициализированной памяти в RSA KEM RSASVE. CVE-2026-31789 — переполнение буфера в 32-битных системах при обработке сертификатов X.509.
▪️ В OpenClaw (2026.3.11) критическая уязвимость (10/10) CVE-2026-32922: команда /pair approve не проверяла полномочия, позволяя любому подключившемуся назначить себе права администратора. Ранее была CVE-2026-33579 с похожим эффектом. В сети найдено 135 тыс. открытых экземпляров OpenClaw, 63% из них доступны без аутентификации.
▪️ В Nix (исправлено в версиях 2.34.5 и новее) критическая уязвимость (9/10) CVE-2026-39860 — некорректное исправление CVE-2024-27297 позволяет перезаписать любой файл в системе, если фоновый процесс Nix работает с правами root (как в NixOS).
▪️ В ядре Linux исправлено 5 уязвимостей, найденных Claude Code. Одна из них (в драйвере NFS) позволяет через запросы к NFS-серверу читать память ядра и проявляется с ядра 2.6.0 (2003 год).
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🌚6🔥3❤1