IT For Prof (Айти Фор Проф)

В nginx нашли критическую уязвимость CVE-2026-42945 (CVSS 9.2): один HTTP-запрос без авторизации роняет рабочий процесс веб-сервера, а на системах с отключённым ASLR открывает дорогу к выполнению чужого кода. Баг прожил в коде 18 лет и сидит почти во всех сборках вплоть до исправленных 1.30.1 и 1.31.0 — включая 1С-Битрикс, панели управления и российский форк Angie. Первые попытки эксплуатации уже зафиксированы, так что окно «спокойно подождём» закрылось. Разберём, как за пять минут проверить свой сервер и закрыть дыру без простоя...

Корпоративные чаты и видеовстречи в Zoom, Teams или Slack уходят на серверы в США и Европе. Для российских компаний под 152-ФЗ это трансграничная передача персональных данных, которую приходится отдельно обосновывать. Nextcloud Talk переносит мессенджер, видеозвонки и обмен файлами на ваш сервер. Развернули его нескольким заказчикам и собрали практику в одном разборе. Это приложение spreed внутри платформы Nextcloud. К корпоративному файловому хранилищу добавляются текстовые чаты с историей, групповые...

Корпоративные звонки и переписка в Zoom, Google Meet или Telegram хранятся на чужих серверах за рубежом. Для тех, кто работает с персональными данными под 152-ФЗ, это прямой риск. TrueConf Server Free переносит видеосвязь и мессенджер на ваш сервер — бесплатно и без выхода в интернет. Мы развернули его для нескольких заказчиков из малого и среднего бизнеса и собрали практику в одном разборе. Облачные сервисы держат записи звонков, чаты и файлы в зарубежных дата-центрах. Чтобы легально работать с персональными данными россиян, такую передачу пришлось бы согласовывать с регулятором...

Документация ELMA365 on-premise рассыпана по десяти страницам: порты — в одном разделе, параметры ядра — в другом, реверс-прокси — в третьем. Мы в IT For Prof собрали сетевую настройку в один материал и проверили каждый параметр по скрипту установки версии 2026.2.2. Проблемы с ELMA365 чаще создают мелочи: не тот параметр sysctl, неверный IP в настройках, пересечение подсетей. Платформа выглядит живой снаружи, но внутри ничего не работает. ELMA365 разворачивается в Docker-контейнере, внутри которого работает кластер Kubernetes — KinD (Kubernetes in Docker)...

Украденный пароль или один приватный ключ больше не должны открывать SSH-доступ к серверу. Двухфакторная аутентификация SSH по TOTP добавляет второй шаг: после ключа или пароля администратор вводит одноразовый код из приложения-аутентификатора. Схема работает локально. PAM-модуль pam_google_authenticator проверяет код на сервере, а секрет пользователя лежит в файле .google_authenticator в домашнем каталоге. Важно, чтобы файл принадлежал самому пользователю и был закрыт правами 0600, иначе модуль может отказаться его читать...

С выходом OpenSSH 9.8 (Ubuntu 24.10 и новее) администраторы получили механизм защиты от брутфорса прямо внутри демона sshd. Он называется PerSourcePenalties и работает без Fail2Ban, без парсинга логов и без правил firewall. Разбираем, как именно, где это достаточно, а где нет, и как безопасно раскатать на парке серверов. PerSourcePenalties — это учёт плохого поведения подключающихся адресов непосредственно в памяти процесса-монитора sshd. Каждое подозрительное событие добавляет источнику штрафное время, в течение которого новые соединения с этого адреса не принимаются...

Семь серверов, разнесённых по разным провайдерам, постоянная связь между сервисами и ни одного централизованного мониторинга. Команда IT For Prof строила систему именно в таких условиях — когда падение одного узла за несколько минут превращается в инцидент на всей цепочке. Вот как мы это решили — без избыточного шума, без пропущенных критических событий и с двумя независимыми каналами доставки алертов. Клиент управлял семью серверами: четыре ноды Outline VPN, MTProxy-узел, хост со стеком Matrix...

Когда в финансах или медицине требуют, чтобы алерты, события CI/CD и задачи Bitrix24 не покидали периметр организации, бот в Nextcloud Talk закрывает вопрос: данные не уходят во внешние мессенджеры. Webhook-based bots появились в Nextcloud 27.1 с Talk 17.1, capability называется bots-v1. В команде IT For Prof мы развернули десятки таких интеграций и собрали тут практику: что важно при проектировании, как защитить вебхук, как пересылать события из Zabbix, GitLab и Bitrix24, и какие грабли вылезают в продакшене...

Керио ставят как почтовый сервер в СМБ и среднем бизнесе больше двадцати лет — и всё это время с мониторингом его приложенческого слоя была дыра. У одного нашего клиента из-за этого случился продолжительный простой SMTP: антивирусные базы сломались после обновления, входящая очередь росла всю ночь, и до утренней проверки этого никто не видел. Шаблон для Zabbix, который бы вытаскивал эти метрики прямо из Kerio, в интернете отсутствует — мы написали свой и выложили его под MIT. На официальной странице...

Когда инцидент бьёт по двадцати виртуалкам одновременно, классическая связка scp + grep забивает канал и блокирует рабочую станцию на минуты. Поднимать ради разового расследования кластер Elasticsearch экономически бессмысленно. На проектах IT For Prof мы перешли на Nerdlog — терминальный многооконный просмотрщик логов, который агрегирует данные с десятков хостов через обычный SSH и строит интерактивную гистограмму прямо в консоли. Типичная инфраструктура клиента малого и среднего бизнеса — это 5–20 виртуальных машин с микросервисами на systemd...

После миграции с VMware клиент IT For Prof получил рабочий Proxmox-кластер: 6 нод Proxmox VE, отдельный Proxmox Backup Server, 80 виртуальных машин и 30 LXC-контейнеров. Инфраструктура работала, но ежедневная проверка держалась на ручном обходе. Администратор начинал утро с веб-интерфейсов каждой PVE-ноды: загрузка, статусы ВМ, хранилища, резервные копии и обновления. На шести нодах такой обход занимал 30 минут. Главный риск был в привычке: если статус прямо сейчас не красный, эксплуатационный долг легко уходит из внимания...

Уязвимость DirtyFrag позволяет локальному пользователю повысить привилегии до уровня root в ядре Linux. Проблема кроется в некорректной обработке фрагментированных пакетов и механизмах копирования данных в буферах сокета. Термин объединяет две критические ошибки: CVE-2026-43284 и CVE-2026-43500. Первая затрагивает подсистему IPsec ESP, вторая — модуль RxRPC, используемый файловой системой AFS. В случае с CVE-2026-43284 ошибка возникает при передаче данных через UDP-сокеты с флагом MSG_SPLICE_PAGES...