Вот вроде и обсудили, что DNSSEC вещь полезная, но никто не хочет ей заниматься, поэтому 11го числа даже если будут где-то проблемы, то никто их и не заметит. А всё равно интересно как там и что будет происходить.
И я таки нашёл заметку для владельцев DNS, как гарантированно пережить этот день  без приключений. Надо отметить, что ожидал я, явно большего.
https://en.blog.nic.cz/2018/09/24/how-to-survive-scheduled-dns-maintenance/

Если вы знаете какие страдания способна приносить MacOS в сочетании с WiFi, эта статья для вас.
Ответов и решений не ищите, только хорошее описание проблематики и мест где болит. Зачем тогда это читать? Ну, например чтобы понимать, что это не ты дурак, а непогрешимые маки тоже глючат на ровном месте.
https://www.adriangranados.com/blog/whats-going-on-apple

В общем, решились.
ОЗИ завел Ютюб-канал, где мы планируем выкладывать видео с объяснениями «что, блин, происходит-то».
Вот тут первый ролик, где за 20 минут Леня Волков объясняет как работают блокировки простыми словами. Попутно рассказывается как работат вообще интернет.

https://youtu.be/kYomCz-71lM

В ближайшее время будут еще ролики. Например, про СОРМ и Яровую. Про «информационную гигиену». Про то, как сажают за репост и как от этого защититься простыми методами. Про то, почему заблокировали Телеграм и почему этого не получилось.

В общем, шер-ретвит-репост — вот это все. Подписывайтесь.
Ну, и ежели вы хотите поучаствовать в создании таких роликов — милости просим. Мы открыты для сотрудничества и очень хотим создать много действительно полезных для ширнармасс образовательных и обучающих материалов.

Можно что-то сказать в камментах и/или ЛС.

Вчера в чате вспоминали NAT не добрым словом. Вернее, не саму технологию, а людей со слишком буйной фантазией и недостатком знаний. Граната в руках мартышковых, сами понимаете…
А мне вспомнилась эта не молодая статья, где разрушается миф о том, что NAT добавляет уровень безопасности сети, скрывая её структуру от внешних злодеев.
P.S. Перечитывать статьи пятилетней давности, где предрекают рассвет IPv6 буквально завтра, это там мило.
https://blog.webernetz.net/why-nat-has-nothing-to-do-with-security/

Так исторически сложилось, что все любят спорить про заковырки на management plane, типа там протоколы, там логика, там интересно, а data plane удел лузеров и там скука.
Передаю всем уверенным в этом пламенный привет и советую глянуть доклад с прошлогоднего хайлоада, где представляли проект OpenDataPlane, призванный выступать API-прослойкой между железом и сетевыми приложениями.
https://www.youtube.com/watch?v=lvZyfuwJhSo

Этот выпуск сломает шутку в начале следующего, а мне и не жалко. Ещё нашутим.
Но, не суть.
Я тут с пристрастием допросил коллегу из Чешского офиса в Праге и вот, что у нас получилось:
-  История успеха 2.0: от бомжа до senior через карьеру охранника в книжном магазине, а ты продолжай жаловаться на жизнь.
-  Где кормят-то лучше? Кнедлики, карбонара и хачапури в смертельной битве за желудки.
-  Город для семейной жизни существует?
-  Čerstvá zelenina или свежие овощи?
-  Чешская полиция и велосипедисты.
-  Клавиатура, когда в алфавите 42 буквы.
-  Родила – родила, нет – ну, блин, извини, естественный момент.
-  Найден ответ на один из сложнейших вопросов – место достойное для переезда из Питера.

https://www.patreon.com/posts/21695719

Пару лет святая троица из Google, Microsoft и Yahoo гоняли внутренние тесты, а летом выкатили на всеобщее обсуждение новый стандарт/фичу MTA-STS (Strict Transport Security) для валидации mail серверов, так сказать, Make SMTP Great Again! А если серьёзно, то SMTP давно напрашивается на серьёзную переработку в части безопасности передачи данный.
Очень давно.
Очень серьёзно.
https://www.hardenize.com/blog/mta-sts

Тут наши сисадмины или решили обмусолить замусоленное насмерть, или хотят рассказать нечто настолько интересное о, казалось бы, заезженной теме, что боятся спугнуть и не открывают карты до конца.
Придётся слушать их уже в это воскресенье, после обеда, да на сытый желудок. Сон vs Виртуализация в прямом эфире.
http://linkmeup.ru/blog/386.html

По старой доброй традиции полезные ссылки:
Чатик всех сисадминов RU t.me/ru_sysadmin
Чатик подкаста для сисадминов t.me/linkmeup_sysadm_chat

Сначала я подумал, что эта статья про биполярочку: зачем надо превозмогать и через нехочу заставить себя любить DNSSEC.
Потом я подумал, что это посыпание головы пеплом: мы такую клёвую штуку сделали, но нас никто не понял, но потом вроде стало понятно, что пациент скорее мёртв.
Но на самом деле это трезвый разбор сложившейся ситуации, принятие курса на исправление и выдача ЦУ по текущему положению дел.
http://www.circleid.com/posts/20180619_why_you_must_learn_to_love_dnssec/

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
linkmeup_sysadmins#7. Прямой эфир
\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/

Через 10 минут начинаем, а пока включайте свои приемники, музыка уже играет :)

http://linkmeup.ru:8000/live.m3u

Утро двух больших вопросов.
1)  Началось всё с новости, что в следующей версии EVE-NG будет доступен докеровский контейнер с Kali. Вроде здорово, но зачем, если все ловкие парни уже давно пересели на Parrot?
2)  И хоть это и никак не связано, но у Вебера в блоге есть приятный pcap для обучающихся IPv6, в котором собраны всякие верхние протоколы, типа DNS, DHCP, SSH, IMAP и прочие SNMP с пингами. Но зачем это всё, если доподлинно известно, что разницы там с запчасть от голубя? Хотя автор и сам пишет: Nothing special to see here. Типа не верите другим, вот возьмите и убедитесь сами.
https://blog.webernetz.net/ipv6-upper-layer-protocol-samples/

А вот из стана OpenBSD пришли хорошие новости.
bgpd научили BGP Origin Validation, что несомненно весьма и весьма приятно.
Говорят, учили строго по RFC (кто-бы сомневался в другом), так что добавилосс две новых таблицы. Roa-set для работы с RPKI и origin-set для проверки пары source-as/prefix.
RPKI часть хочется показать разработчикам DNSSEC, чтобы научились делать вменяемые конфиги:
roa-set {
165.254.255.0/24 source-as 15562
193.0.0.0/21 maxlen 24 source-as 3333
}
deny from any ovs invalid
match from any ovs valid set community local-as:42
match from any ovs not-found set community local-as:43
165.254.255.0/24 source-as 15562
193.0.0.0/21 maxlen 24 source-as 3333
}
deny from any ovs invalid
match from any ovs valid set community local-as:42
match from any ovs not-found set community local-as:43
Origin пишется так же, но работает только при совпадении пары source-as/prefix.
match from any origin-set ARINDB set community local-as:44
https://tools.ietf.org/html/rfc6811

Group-IB выкатили увлекательнейший отчёт о положении дел на рынке видеопиратства и это просто ода современным технологиям.
- Средний сайт с недорогим кино поднимается за 10-15 минут и стоит 240$.
- Весь контент крутится в CDN и похож на неуловимого Джо. По оценочным данным это 300 000 файлов или 5Пбайт контента. Поддержка такой махины стоит около 100 000$ в месяц.
- Заработок мелких сайтов крутится около 3$ за 1000 показов.  Доход таких сайтов доходит до 10 000$. Ютуб блогеры за такие цифры поубивали-бы друг друга.
- В 2018 было украдено практически всё, что показывали в кинотеатрах. В относительных цифрах это в 8,5 раз больше, чем в 2016.
- Наше всё Яндекс, делает для топ-10 пиратских сайтов 78% трафика.
- В чём заключается триуфм РКН и кого они победили, ребята из IB так и не поняли.
https://www.group-ib.ru/media/antipiracy-statistics-record-2018/

Наглядное, а значит с картинками, объяснение зачем нужны и как применять направленные антенны с узким лучом в Wi-Fi сетях на примере построения сети на складе с металлическими стелажами.
В процессе чтения возник вопрос о легитимности использования двухдиапазонных точек, с двумя антеннами на каждый диапазон.
Традиционно, всем кто уверен, что любые проблемы от недостатка мощности у AP, статью не читать, там всё врут.
https://blog.theitrebel.com/2018/08/27/warehouse-wireless-design-ideas/

Поучительная история от сторонника повсеместного внедрениям IPv6.
Товарищ сменил провайдера и тут выяснилось, что поменять IPv4 на внешних интерфейсах это пара минут, а вот смена IPv6 тянет за собой эпик в несколько недель.
https://blog.webernetz.net/ipv6-renumbering-a-pain-in-the/

Немного про “всегда найдётся азиат, который сделает лучше”.
Тут сверлят карандашный грифель диаметром 0,5 мм и длинной 60мм.
https://www.youtube.com/watch?v=A2aRY7wqYxA

IEEE придумали, Wi-Fi Alliance описали, вендоры наделали железо, а юзеры очень удивились полученному результату. Эта тема, мягко говоря, не нова, но вот почему я решил опять откопать стюардессу.
Вот, например, без дураков отличный цикл статей про роуминг в IEEE 802.11k/r/v Товарищ очень мощно заморочился на всех уровнях. И теорию читал, и тестовый стенд разработал, и дампы трафика смотрел, и в каналах разбирался, и графики рисовал, но итог печален: нет в Wi-Fi роуминга, вот хоть ты что делай, а нет.
Правда есть полярное мнение, что товарищ искал не то и не там, а читать надо изначальные стандарты, а не фантазии вендоров ибо роуминг есть, вот только надо разобраться, что же такое роуминг, а не исходить из своих фантазий, порождённых запросами юзеров. Итог: всё написанное можно смело отправлять в помойку.
Вот и случилась битва двух якодзун: теоретически, всё очень красиво и правильно работает, а на практике работают совершенно другие вещи. Вероятно, нам, технически подкованным людям, это как-то проясняет ситуацию, но вот что с юзерами-то делать?
https://www.smallnetbuilder.com/wireless/wireless-features/33207-wi-fi-roaming-secrets-revealed-part-4

EVE-NG действительно добавили контейнер с Kali в Pro версию, так что можно
apt update
apt install eve-ng-kali
и, возможно, жить станет веселей.
А я вот зачитался сентябрьскими размышлениями Лукацкого на тему можно-ли защитить свою инфраструктуру только отечественными продуктами. Но у него всегда всё плохо и завтра умрём, но тут ему подсказали, что недельку ещё пожить можно и потихоньку создаются у нас интересные решения.
https://lukatsky.blogspot.com/2018/09/blog-post_14.html

Быстрый способ сделать красивый html отчёт из вывода nmap. Сначала генерим XML nmap -oX и следом делаем xsltproc nmapOutput.xml -o nmapWebPage.html
Метод старый и многие его знают. А вот как сделать XLS файлик, для меня было тайной.
https://github.com/mrschyte/nmap-converter