DOFH - DevOps from hell

Как патчить ядро Linux: подробное руководство #Linux Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства. В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию. Ссылка на статью

Proxmox: привязка CPU к виртуальным машинам Не всегда очевидно, зачем вообще нужна привязка CPU к виртуальным машинам, особенно если речь идёт о небольших развертываниях - там этот параметр чаще всего просто игнорируют. Но в реальном продакшене использование CPU affinity становится действительно важным для повышения производительности виртуалок. https://telegra.ph/Proxmox-privyazka-CPU-k-virtualnym-mashinam-09-03 #ит_статьи#devops#proxmox#linux#numa

ЛюбопытныйTUI для перехвата сетевого трафика с использованием eBPF в Linux Особенности - Мониторинг и визуализация трафика в реальном времени. - Полная статистика сетевого трафика. - Функции межсетевого экрана. - Исследователь метрик. https://github.com/pythops/oryx #ит_заметки#linux#kernel#network#ebpf#oryx

Exploring Operating Systems Пошагово за 70 дней разбираются концепты ОС и приводятся попытки имплементации на С. Много ссылок на полезные ресурсы Опять же не устану напоминать про лучшее, что я читал про ОС #linux#os

Влияние максимального размера I/O-запросов на производительность систем Linux В области оптимизации производительности Linux важнейшим фактором является производительность дискового ввода-вывода (I/O), которая существенно влияет на общую эффективность системы. Одним из ключевых параметров, влияющих на производительность дискового ввода-вывода, является максимальный размер I/O-запроса, определяемый параметром max_sectors_kb. Понимание и настройка этого параметра могут привести к значительному улучшению производительности системы. В этой статье мы рассмотрим понятие максимального размера I/O, его важность в системах Linux, а также его влияние на производительность в целом. https://telegra.ph/Vliyanie-maksimalnogo-razmera-IO-zaprosov-na-proizvoditelnost-sistem-Linux-04-13 #ит_статьи#linux#iostat#optimisation#fio

Cilium: Полное руководство по сетевому взаимодействию, безопасности и наблюдаемости в Kubernetes Cilium — это облачное решение для сетевого взаимодействия, предназначенное для обеспечения, защиты и мониторинга сетевого соединения между нагрузками (workloads) с помощью расширенных возможностей технологии eBPF (extended Berkeley Packet Filter), мощного механизма ядра Linux. Специалистам, знакомым с сетевым взаимодействием в Kubernetes, известно, насколько важны плагины CNI (Container Network Interface) для управления сетевой коммуникацией внутри и между узлами кластера. В данной статье подробно рассматриваются архитектура Cilium, ключевые особенности, методы развертывания, а также проводится сравнение с другими известными технологиями, такими как Istio. https://telegra.ph/Cilium-Polnoe-rukovodstvo-po-setevomu-vzaimodejstviyu-bezopasnosti-i-nablyudaemosti-aka-observability-v-Kubernetes-04-13 #ит_статьи#linux#devops#network#kubernetes#cilium#ebpf

Заставляем пользователя Linux сменить пароль при следующем входе в систему По соображениям безопасности вам может понадобиться заставить пользователя изменить пароль при следующем входе в систему. Как же это сделать? Есть несколько способов сделать это. Сегодняшняя заметка расскажет о нескольких простых методах. https://telegra.ph/Zastavlyaem-polzovatelya-Linux-smenit-parol-pri-sleduyushchem-vhode-v-sistemu-03-04 #ит_заметки#linux#shell#chage#passwd

Linux Kernel Teaching. Laboratory * Большой и годный сборник лекций и лабораторных работ по ядру Linux. Лекции посвящены теоретическому исследованию ядра Linux. Лабораторки сделаны в стиле инструкций. Будет полезно: админам, драйверописателям и специальным разработчикам * Link #linux#kernel

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Linux между версиями 5.14 и 6.6, включая Debian, Ubuntu и KernelCTF. 🔻 Эксплойт требует kconfig CONFIG_USER_NS=y; sh command sysctl kernel.unprivileged_userns_clone = 1; kconfig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubuntu, and KernelCTF, а для других дистрибов нужно тестить. 🔹 Эксплойт не работает на ядрах v6.4> с kconfig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubuntu v6.5) NSFOCUS пишет, что Redhat тоже подвержен уязвимости. 🤷‍♂️ @avleonovrus#nftables#Linux#Vulristics#EoP#LPE#MakeMeRoot#DirtyPagedirectory#NSFOCUS