Дневник цели
Завтра заканчивается двухмесячная подписка на LA. Выкладывать 50 баксов за еще один месяц не оч хочется, пока лучше сосредоточусь на книгах. Самое важное что хотел пройти уже прошел, остальное опционально. Хотелось бы deep dive по apache web server, но там такого нет.
Со временем вернусь туда вкатываться в кубер и прочие радости маленького devops инженера
Откуда вырастают пентестеры? Давно интересуюсь ИБ для общего развития, и давно пришло понимание что пентестинг охватывает охуевший пласт знаний. Нужно знать и уметь в веб-серверы (а их не мало), админить линуксы и винду (прости госпаде), шарить в тонкостях осей, всяких фаерволов, сетей, тонны протоколов. Помимо прочего, шарить еще за сотни утилит для автоматизации поиска/эксплуатации, чувствовать себя как дома и в условном kali и винде (прости еще раз).
Полистал вакансии своего города - их две, обе без указания зп. В требованиях почти пусто: понимание rest/soap/owasp top 10. Кто на это откликается и с какими знаниями приходят? В чем заключается работа в течение дня например? Насколько востребованы и сколько им платят?
Иногда читаю решения hack the box на хабре, или какие-то современные книги с приближенными к реальности сценариями эксплуатации - это же пиздец, попробуйте сами.
Из вакансий с указанием зп натыкался на ведущего специалиста по информационной безопасности за 25к. Страшно представить кого они хотят видеть за такую сумму в такой должности
Пока не знаю как дальше скоординировать развитие. Вся эта современная веб-разработка с десятимегабайтными js-бандлами и морем никому ненужных фреймворков уже надоела. Особенно в условиях "давайте сделаем побыстрее, а потом охуеем поддерживать. и назовем это agile". Нулевое удовлетворение от конечного продукта, что даже не хочется ничего делать. Пойду искать себя в чем-нибудь, лол
Linux Networking and Troubleshooting
Получилось побороть фобию сетей, что-то даже прояснилось. Курс полезный, очень много практических примеров, с которых флешбекало на годы ебли с iptables и другими утилитами. Всё оказалось достаточно просто, когда понимаешь что делаешь, а не копипастишь команды с serverfault в надежде что не упадёт
Понял как настраиваются, но не понял как работают статические ip. В какой-то момент еще в лекции по DNS началась особая уличная магия.
В остальном ок - рассмотрена на практике диагностика проблем на разных уровнях: arp, iptables/firewalld, dns, показаны примеры дампа трафика через tcpdump/tshark и последующий анализ в wireshark.
Под конец подробно разбиралась тема порт форвардинга - локальные/удаленные/динамические ssh туннели, NAT через iptables и firewalld, настройка прокси сервера на примере squid, балансировка запросов через haproxy и nginx (хз как сюда попало), установка и настройка openvpn сервера
Короче, наконец-то могу осознанно прописывать роуты, а не рандомно тыкать пока не заработает. Надо еще поподробнее покопаться в nmcli, ss/netstat, и закрепить прогресс какой-нибудь неповерхностной книгой по сабжу
DevOps Monitoring deep dive
Захотелось забыть все ужасные часы работы с zabbix. Курс посвящен prometheus + alertmanager + grafana. В отличие от zabbix получаем профит в виде IaS, удобстве развертывания и настройки.
Интерфейс prometheus выглядит как выпускная работа школьника, изучавшего бутстрап. Но туда нет особой нужды смотреть, можно использовать просто как сборщик метрик.
В grafana отличные визуализации и возможность заимпортить дашборды, которые за тебя уже написали бородатые мужики на основе нужных метрик и их сборщиков. Ванклик интеграция с prometheus. Дашборды удобно конфигурируются и кастомизируются, к тому же классненько красивенько :з
С alertmanager детально не разбирался, но думаю возможность дернуть кастомный баш скрипт должна присутствовать, а большего и не надо (люблю оповещения в телегу).
Бонусом идут официальные клиенты для java, поддерживающие spring aop. Настраивать приятно и легко.
Из минусов - в prometheus вроде как нет авторизации, но никто не мешает пробросить reverse proxy в nginx с http basic.
Половина курса вода, лабы на уровне ctrl+c ctrl+v, но как введение зашло. deep dive слишком громко сказано
DevOps Essentials
Ничего нового не вынес. Обзор на понятие, описание основных практик и процессов, перечисление часто используемых инструментов. Двигаю дальше
NGINX Web Server Deep Dive
Скучноватый курс и лабы. Часть лекций про FastCGI и uWSGI, которые мне не интересны и вряд ли когда пригодятся. Зато пришло большее понимание конфигурационных файлов, как всё работает и зачем. Лекции по http2 и настройке let's encrypt достаточно полезные. Алсо, появились идеи куда прикрутить load balancing с хелсчеком и шлюхами
В целом, nginx оказался намного проще, чем я раньше думал.
Продолжу нетворкингом, либо поищу что-то более практическое по части devops. В последнее время стала интересна тема zero downtime deployment
Параллельно читаю "Структуры данных и алгоритмы java" - подготавливаюсь к ежедневному задрачиванию leetcode
LPI Linux Essentials
Первые две трети было мучительно трудно сосредоточиться, тк объяснялись самые базовые и уже знакомые вещи. В целом, процентов на 10 курс был очень полезный. В рамках курса прошел два квиза и одну hands-on lab. Последняя хоть и заняла две минуты, но было прикольно. На очереди nginx deep dive - там уже более интересный материал и четыре лабы.
Это был первый опыт использования linux academy, около года прокрастинировал и думал что всего лишь очередные видосики, на которые быстро забью. На самом деле нет - материалов тонны по разным темам, курсы более чем актуальные, подача отличная, для лаб дают полностью рабочее необходимое окружение (подключаешься по ssh и творишь, результат проверяется автоматически их системой). Не надо локально заморачиваться с виртуальными машинами - всё уже сделано и настроено.
Подписка полностью себя окупает