Под ритмы Slipknot плету священные узоры из патчкордов, чтобы духи аптайма были довольны 🌚

Типичный 🥸 Сисадмин

Типичный 😬 Сисадмин

Linux оказался не готов к современному вебу 😬

Тут в мире SSL-сертификатов произошел тихий, но важный сдвиг, который обнажил давнюю архитектурную проблему в Linux. Let's Encrypt в начале августа окончательно отключил свой OCSP-сервис (Online Certificate Status Protocol) для проверки отозванных сертификатов, порекомендовав всем использовать старый добрый CRL (Certificate Revocation Lists).

Причина отказа от OCSP проста, он неэффективен, ненадежен и нарушает приватность (где-то ещё борятся за приватность🎩), так как сообщает удостоверяющему центру, какие именно сайты вы посещаете. На фоне этого CA/Browser Forum сделал OCSP необязательным, и Let's Encrypt просто сделал тоже самое.

И вот тут выяснилось, что Linux к этому не готов. В отличие от Windows, macOS или Android, где есть системный TLS/PKI-стек с общим кэшем отозванных сертификатов, в Linux нет единого механизма для работы с CRL. Каждая утилита (curl, wget, приложения на OpenSSL) реализует (или не реализует) свою собственную логику. Это приводит к неэффективности (каждый качает свой CRL), ненадежности (если URL с CRL недоступен, соединение может упасть) и разобщенности.

Есть несколько решения, но как-то костыльно:
🟢 Браузеры эту проблему давно решили, используя свои push-системы (CRLite у Mozilla, CRLSets у Google), которые доставляют списки отозванных сертификатов прямо в браузер. Но для консольных утилит это не работает.
🟢 Короткоживущие сертификаты (например, на 6 дней). Идея в том, что сертификат истекает быстрее, чем его успевают отозвать, что в принципе снимает необходимость в проверке.

Linux-дистры такие:

Мы не делаем общий CRL-кэш, зато у нас есть 17 разных пакетных менеджеров. Выбирай! 😶

Типичный 🥸 Сисадмин

Линус умеет сказать коротко и жёстко. Вот несколько цитат, которые вдохновляют линуксоидов уже ни один год:

«Talk is cheap. Show me the code.»
Разговоры ничего не стоят. Покажи мне свой код.

«Software is like sex: it’s better when it’s free.»
Программное обеспечение — это как секс, лучше, когда оно бесплатное.

«Intelligence is the ability to avoid doing work, yet get the work done.»
Интеллект — это способность избежать выполнения работы, но, тем не менее, сделать так, чтобы она была выполнена

«Bad programmers worry about code. Good programmers worry about data structures and their relationships.»
Плохие программисты думают о коде. Хорошие — о структуре данных и связях.

«Most good programmers do programming because it’s fun.»
Большинство хороших программистов пишут код, потому что им это в кайф.

«If you think your users are idiots, only idiots will use it.»
Если ты считаешь своих пользователей идиотами — то такие пользователи у тебя и будут.

Согласны ли вы с этими высказываниями и есть ли у вас любимые среди них?

Linux / Линукс 🥸

А технология Plug-and-Play обесценила наши знания о прерываниях IRQ 😂

Типичный 🥸 Сисадмин

... но почему-то забыли забрать утечки памяти из их кода 🎩

Типичный 🌚 Сисадмин

Google закручивает гайки на Android

Google объявила, что на сертифицированных устройствах Android больше нельзя будет ставить приложения от разработчиков без верификации. Установка apk из сторонних источников станет возможна только в том случае, если автор прошёл регистрацию и подтвердил свои данные.

Это значит, что смартфоны с прошивками, прошедшими сертификацию Google (почти все крупные бренды), будут проверять, зарегистрирован ли разработчик. В противном случае установка заблокируется. В обход можно будет пойти только на кастомных прошивках без сертификации.

По данным Google, через сторонние источники распространяется в 50 раз больше вредоносного софта, чем в Google Play. Первые тесты системы стартуют в октябре 2025 года, с сентября 2026 года обязательная проверка появится в Бразилии, Индонезии, Сингапуре и Таиланде, а затем распространится и на другие регионы.

Для верификации разработчикам придётся пройти процедуру подтверждения личности или компании и зарегистрировать свои пакеты через Android Developer Console. Энтузиастам и студентам дадут отдельный тип аккаунта, но формально им тоже придётся «засветить паспорт».

Linux / Линукс 🥸

Обычное утро тимлида, когда стажёр решил проявить инициативу.

Типичный 🥸 Сисадмин

Почему я не люблю музыку? Найдена причина музыкальной ангедонии. Что-то проде no route to host в мозгу.

Наткнулся на статью по сабжу. Я всегда испытывал максимальное равнодушие к музыке в целом. И вот нейробиологи 10 лет исследовали этот феномен и, кажется, нашли причину.

Они выяснили, что у людей с музыкальной ангедонией (неспособностью получать удовольствие от музыки) все в порядке и со слухом, и с системой вознаграждения в мозге. Проблема в связи между ними системами, хотя я не считаю это проблемой (нашли проблему там где её нет) 👨‍🔬

Ученые сканировали мозги испытуемых, пока те слушали музыку. Оказалось, что слуховые центры у нелюбителей музыки работают отлично, они все прекрасно слышат. И система вознаграждения у них тоже в порядке, они получают удовольствие от других вещей, например, от выигрыша в азартные игры. Но вот канал между этими двумя отделами мозга просто не работает.

Типа это классическая проблема с маршрутизацией между двух VLAN'ов 🖥 Один - Слуховой, второй - Центр удовольствий. Внутри каждого VLAN'а все пингуется, все работает. Но между ними нет связи. Пакеты с информацией о музыке просто не доходят из одного VLAN'а в другой, потому что на пограничном маршрутизаторе мозга просто нет нужного правила.

Вот бы было бы неплохо чекнуть и другие рулесы и немного поправить конфиг 🧠 Например, закомментировать модуль small talk о погоде. Экономит ресурсы и не создает лишнего шума в логах мозга. etc.

Теперь ученые пытаются понять, в чем причина этой разорванной связи, в генетике (железо) или в воспитании (конфиг от родителей и общества).

В общем, отличная новость, я закрыл тикет! Не баг, а фича!

➡️ IT-Мемасы от Эникея

У каждого сисадмина должен быть свой сервер эмоциональной поддержки и маленькие радости, которые держат тебя на плаву 💚

Типичный 🥸 Сисадмин

Выбора нет, есть только путь самурая...

Типичный 🥸 Сисадмин

Пентагон успешно реализовал программу аутсорсинга. В Подмосковье 😶

Американская ИБ-фирма Hunted Labs провела исследование и выяснила, что популярнейшая Node.js-утилита fast-glob поддерживается всего одним человеком. И, судя по его профилям в сети, это разработчик из Яндекса по имени Денис Малиночкин, проживающий в РФ.

Казалось бы, типичная история для open source. Но есть нюанс. fast-glob скачали десятки миллионов раз, она является зависимостью в 5000+ публичных проектах, а самое забавное, что она используется как минимум в 30 проектах Министерства обороны США (DoD). Более того, она включена в Iron Bank, а это доверенный репозиторий ПО, который Пентагон использует для своих систем 🎩

Исследователи уточняют, что у fast-glob нет известных уязвимостей (CVE), а к самому разработчику нет никаких претензий. А проблема в самой модели угроз. Популярнейший пакет с глубоким доступом к файловой системе, который является частью критической инфраструктуры СЩА, поддерживается одним Денисом из подмосковья без какого-либо внешнего контроля 😗

Ребята из Hunted Labs сообщили о своих находках в Пентагон еще три недели назад. Особенно иронично это выглядит на фоне недавней директивы министра обороны США, которая запрещает закупать ПО, подверженное иностранному влиянию.

Чувствуете, что везде всё одинакого? 🤔 Идеальный пример того, как на самом деле устроена современная цепочка поставок ПО.

Типичный 🥸 Сисадмин

🔧 Google экстренно чинит дыру в Chrome

11 августа команда Google Big Sleep поймала серьёзную уязвимость в Chrome — CVE-2025-9478. В библиотеке ANGLE, которая отвечает за отрисовку WebGL и Canvas, найдена ошибка типа use-after-free (когда браузер пытался использовать память, которую уже освободил, и злоумышленник мог подменить её своим кодом). В итоге достаточно одного визита на заражённый сайт, чтобы запустить атаку без кликов, подтверждений или скачиваний.

Google отреагировала почти моментально и выпустила обновление в версиях Chrome 139.0.7258.154/.155 для Windows и macOS и .154 для Linux. Патч раздают автоматически, но в корпоративных сетях советуют не тянуть и руками закрывать дыру через MSI-пакеты или Enterprise Bundle.

Уязвимость неприятная, ведь заражённый сайт превращается в точку входа для drive-by атак, когда вредонос загружается просто при посещении страницы, без действий со стороны пользователя. Дальше атакующий может поставить шпионское ПО, шифровальщик или использовать браузер как трамплин для проникновения в корпоративную сеть.

Пока что детали эксплуатации Google держит при себе, чтобы выиграть время на массовое обновление. Однако практика показывает, что если эксплойт существует, то его применение в реальных атаках лишь вопрос времени.

Типичный 🥸 Сисадмин

🔥 Что делать, если знаешь, что тебя уволят в пятницу?

Инсайд из отдела кадров шепнул, что в пятницу вас и вашу команду сокращают. До этого момента у вас полный админский доступ, а в голове буря эмоций. Ваши действия?

Типичный 🥸 Сисадмин

Кластер Kubernetes на Raspberry Pi 5, удалённый доступ к BIOS через PiKVM, несколько свитчей, Pi-hole и Home Assistant.

И картонный лоток для авокадо 😬

Типичный 🥸 Сисадмин