​​Обновляем Proxmox Virtual Environment с версии 7 до 8

Этим летом был выпущен Debian 12, очередной релиз известной операционной системы, которая является основой для целого семейства решений.

Не остался в стороне и Proxmox, быстро выпустив новую версию известного гипервизора Proxmox Virtual Environment 8.

Обновляться сразу или немного подождать - каждый решает сам, но мы решили уже сегодня подготовить материал по обновлению, который основан на официальной документации и дополнен собственным опытом, накопленным в процессе обновлений данного программного продукта.

https://interface31.ru/tech_it/2023/07/obnovlyaem-proxmox-virtual-environment-s-versii-7-do-8.html

​​Garuda KDE Dr460nized - яркий и стильный и это тоже Arch

В заключение нашего короткого цикла обзоров систем основанных на Arch нам бы хотелось представить Garuda KDE Dr460nized, это третий по популярности в рейтинге DistroWatch дистрибутив в своем семействе, и он сильно не похож на две других системы, которые мы уже рассмотрели.

И если Manjaro можно рассматривать как Ubuntu в мире Arch, а EndeavourOS, наоборот, как суровый, ориентированный на консоль, дистрибутив, то с Garuda все по-другому. Он не рассчитан на новичков, но и не стремится к аскетизму, скорее наоборот, но не будем забегать вперед...

https://interface31.ru/tech_it/2023/07/garuda-kde-dr460nized---yarkiy-i-stil-nyy-i-eto-tozhe-arch.html

​​Подборка материалов по Proxmox

🔹 Установка и настройка Proxmox VE 6.0

🔹Настраиваем сеть в Proxmox Virtual Environment

🔹Как отключить уведомления о подписке в Proxmox?

🔹Не отображаются графики статистики в Proxmox

🔹 Установка Proxmox VE 6 в Debian 10

🔹 Установка Mikrotik CHR на виртуальную машину Proxmox

🔹 Ошибка установки Proxmox VE 6 после получения настроек по DHCP

🔹 Перенос виртуальных машин и контейнеров Proxmox VE на другой сервер

🔹 Обновляем Proxmox Virtual Environment с версии 6 до 7

🔹 Настраиваем использование оперативной памяти при работе с ZFS в Proxmox VE

🔹 Режимы кеширования виртуальных дисков KVM в Proxmox VE

🔹 Используем текстовый режим (TUI) для установки Proxmox Virtual Environment 8

🔹 Обновляем Proxmox Virtual Environment с версии 7 до 8

Несмотря на то, что некоторые статьи могут казаться устаревшими, например, для 6-й версии, на самом деле они остаются актуальными, так как изменилось там мало.

​​ChatGPT мы уже видели, теперь Яндекс научил Алису отвечать на вопросы с использованием искусственного интеллекта при помощи собственной сети YaGPT.

Ну мы традиционно решили спросить про NGINX.

❓напиши конфигурацию обратного прокси на nginx для 1с предприятие

Про 1С она, похоже, не сильно в курсе, но в остальном ответила даже более чем подробно:

Для конфигурации обратного прокси на Nginx для 1С Предприятие, вам необходимо выполнить следующие шаги:

Установите и настройте Nginx на вашем сервере.

Создайте новый блок в конфигурационном файле Nginx, который будет использоваться для проксирования запросов к 1С Предприятию.

Укажите порт, на котором будет работать 1С Предприятие.

Укажите адрес и порт сервера, на котором работает 1С Предприятие.

Добавьте директиву “proxypass”, которая будет перенаправлять запросы на адрес и порт сервера с 1С Предприятием.

Если необходимо, добавьте дополнительные директивы, такие как “proxysetheader”, “proxycookie” и т.д.

Сохраните изменения в конфигурационном файле и перезапустите Nginx.

Пример конфигурационного файла Nginx:

server {
listen 80;
server_name example.com;

location / {
proxy_pass http://127.0.0.1:8080; # адрес и порт сервера 1С
proxy_set_header Host $host;
proxy_http_version 1.1;
proxy_cache_bypass $http_upgrade;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}

В данном примере мы указали, что запросы на порт 80 будут перенаправляться на сервер с 1C Предприятием, который работает на порту 8080.

Также мы добавили несколько дополнительных директив, которые могут быть полезны при настройке проксирования.

Ну как? Годится на замену ChatGPT?

Журнал «Код» — это база для начинающих программистов. Отвечаем на самые простые вопросы и делимся мудростью. 

Подписаться: @thecodemedia

Реклама. ООО "ЯНДЕКС". ИНН 7736207543. erid: 2RanynPifKn

​​Гарантия по другую сторону баррикад, часть 7. Потребительский экстремизм.

Права потребителя – это хорошо и важно, но бывает отдельная категория потребителей, которая исключительно вольно трактует свои права и пытается в любом удобном и неудобном случае вывернуть ситуацию к своей… Хотел написать – выгоде, но выгодой там местами и не пахнет.

Расскажу несколько реальных историй.

Еще на заре появления LCD-мониторов один товарищ предпенсионного возраста купил весьма дорогой по тем временам 17” LCD Samsung и практически сразу стал сносить мозги, что монитор говно, все плохо и т.д. и т.п.

Дошло до того, что приехали к нему на дом. А там монитор в нестандартном разрешении работает. Поставили как надо. Четко? Да, но мелко. А тогда софт мало умел подгоняться под высокое разрешение.

Пытаемся пояснить, что это и как, потому что технология новая, но товарищ глух. Тычет нам в CRT-монитор, мол тут как хочу, так и меняю, картинка всегда четкая.

Ладно, вернем деньги, отдавай монитор. Но нет, он видите ли «знает» права потребителя, и мы крепко попали. Ну «знает» так знает, писал жалобы, но был послан лесом.

Другой товарищ купил караоке-микрофон с разъёмом 5 мм, а на следующий день пришел с предъявой, что он не смог его подключить, так как он не влез в гнездо, тем самым мы испортили день рождения дочки и уже крупно должны.

Вернуть деньги, поменять? Нет. Ну нет, так нет. Итог – снова везде послан.

Чуть позже этот же клоун купил клавиатуру и тут же настрочил жалобу что его права грубо нарушены, так как на клавиатуре есть кнопки со словами на английском и нет ни перевода, ни разъяснения в инструкции.

Чем закончилось – думаю говорить излишне был везде послан.

Третий тип принес ноутбук, гарантия, навернулся жесткий диск. Сильно переживал, что мол важные данные там и т.д. и т.п.

Диск заменили, а со старого всю его инфу бесплатно вытащили. И что? Этот клоун написал заявление в прокуратуру, что у него на ноутбуке стоял пароль, а мы его взломали и осуществили несанкционированный доступ к его данным.

Хотя там просто следовало поменять ему диск и отдать, сочувственно похлопав по плечу.

Да, из прокуратуры приходили, поржали, написали отказ.

В целом потребителей-экстремистов не любит никто и нигде: ни Роспотребнадзор, ни прокуратура, ни суды.

Потому что эти товарищи тупо тратят время сотрудников на всякую ерунду. А ответить они обязаны, какая бы дичь не была написана в заявлении.

Ну и понимания, зачем они так делают нет. Учитывая, что многим из них просто шли навстречу и предлагали либо полный возврат, либо оказывали услуги, которые оказывать просто не обязаны.

​​Цирк уехал - клоуны остались

Уже не первый день и месяц обитает у нас пару клоунов, систематический выступающих с номерами.

Один из них подвизается в разговорном жанре, но страдает недержанием мутного потока сознания.

Второй пытается выступать в амплуа тонкого тролля, но видимо цирковое училище регулярно прогуливал, поэтому получается жалко и толсто.

Обитали сии клоуны тут исключительно из соображений гуманизма, но своей предсказуемостью и отсутствием прогресса стали надоедать.

Поэтому есть вариант принять к ним ограничительные меры.

​​Файловая система или протокол?

После выхода нашей статьи про NFS мы получили ряд комментариев, в которых нас упрекали в неверном употреблении терминов. Мол какая файловая система, это же протокол. Давайте разбираться.

Начнем с того, что такое файловая система. Это способ упорядоченного хранения и именования данных. Важной частью файловой системы является возможность разграничения прав доступа и обеспечение целостности данных.

А теперь о том, что такое протокол. Это набор соглашений логического уровня, которые определяют процесс передачи данных между программами. Никаких функций файловой системы они не предоставляют.

Сетевые файловые системы предоставляют функции файловых систем для удаленных расположений, позволяя работать с сетевыми файлами как с локальными.

Именно прозрачная работа с файлами является признаком сетевой файловой системы. Так на NFS-ресурсе мы просто можем кликнуть два раза на электронную таблицу, и она откроется в LibreOffice, поработать и сохранить, не задумываясь как она будет передана в удаленное хранилище по сети.

Также, если кто-то попробует редактировать таблицу с вами одновременно, то NFS и этот момент отработает прозрачно, установив блокировку.

Кстати, SMB тоже является сетевой файловой системой, так как предоставляет все функции файловой системы, помимо простой передачи данных.

А как же протокол? А протокол является частью сетевой файловой системы, да, важной, но только частью.

Сам по себе протокол позволяет нам только получить или отправить данные, например, FTP или SSH.

Если мы захотим отредактировать файл на FTP, то нам нужно сначала скачать его в локальную файловую систему, потом отправить назад. Если связь оборвется, то мы получим недокачанный файл, так как протокол целостность данных не контролирует.

Таким образом протокол – это просто средство передачи данных, а сетевая файловая система предоставляет все функции файловой системы для удаленного хранилища.

Таким образом протокол – это просто средство передачи данных, а сетевая файловая система предоставляет все функции файловой системы для удаленного хранилища.

​​По следам наших публикаций

Очень часто комментарии к нашим статьям несут не меньше пользы чем сама статья.

Так в комментариях к материалу про Honeypot на роутерах Mikrotik мы получили очень интересный отзыв от пользователя Mur81.

Приводим с некоторыми сокращениями:

Практически бесполезное занятие вешать такой ханипот на внешний интерфейс.

Дело в том, что сейчас не перебирают порты подряд с одного IP адреса, а используют для этого ботнеты. Т.е. попытка доступа на каждый последующий порт будет с нового IP.

Таким образом за час работы такого ханипота можно насобирать десятки адресов и ни с одного из них не будет второго захода в обозримом будущем. Легко можно в этом убедиться собственно создав оный ханипот и посмотрев на результаты.

Как по мне смысла нет собирать такие листы и блокировать их отдельным правилом. Эти попытки и так будут заблокированы в нормально закрытом файрволе последним правилом.

Только лишнюю память листами загружать и нагрузку на проц обработкой правил (да я понимаю, что это мизерные значения но всё же).

А вот на внутреннем интерфейсе ханипот повесить - вот это милое дело! Только не просто банить, а уведомление (например на почту) по факту срабатывания высылать.

Такими образом мы вовремя узнаем если в сети завелась какая-то зараза (и тут я имею в виду как вредоносное ПО, так и вредоносных юзеров).

На наш взгляд идея очень свежая и здравая, так как выявить внутреннюю вредоносную активность даже более важно, чем внешнюю.

А что скажете вы? Применяете подобный метод?

✅ ITKB_channel - бесплатное обучение по Windows, Linux, DevOps, Security, Network, кодинг
✅ ITKB_Archive - библиотека (книги, курсы, ИТ литература)

​​Самозаверенные сертификаты. Мифы и реальность.

Самозаверенные, они же самозаверяющие или самоподписанные сертификаты являются предметом многих расхожих мифов. Основной их смысл сводится к тому, что такие сертификаты жутко небезопасны и выставить наружу ресурс с таким сертификатом – это все равно, что без сертификата вообще.

Но это мнение не имеет под собой никакого основания, так как сертификат никаким образом не влияет на набор используемых шифров и криптографических алгоритмов. За их использование полностью отвечают настройки защищаемого ПО, чаще всего веб-сервера.

Кроме того, следует помнить, что выбор шифра – процесс обоюдный и не даром называется согласованием. В процессе установления соединения клиент получает от сервера список поддерживаемых шифров и выбирает из них самый стойких из тех, которые поддерживает сам.

Если клиент не поддерживает ни один из предложенных шифров, то соединение установить не удастся. Но и наоборот, существуют специальные атаки на понижение шифрования, цель которых согласовать старый и нестойкий шифр. Поэтому предлагаемый набор шифров — это всегда компромисс между совместимостью и безопасностью.

Так мы можем иметь «настоящий» сертификат и слабый набор шифров ради обеспечения совместимости с устаревшими клиентами или, наоборот, самоподписанный сертификат с небольшим набором самых современных криптографических алгоритмов. И вторая система будет обеспечивать гораздо высокий уровень безопасности чем первая.

Так чем же плох самоподписанный сертификат? Тем, что с ним невозможно установить отношения доверия, которые являются ключевыми во всей современной криптографии. Проше говоря, устанавливая защищенное соединение мы хотим быть уверены, что сертификат действительно принадлежит указанному владельцу, а не третьему лицу.

Чтобы помочь нам в этом вопросе существуют центры сертификации, авторитет которых не подлежит сомнению и если сертификат подписан одним из этих CA, то доверие к центру сертификации распространяется на сертификат, и мы тоже можем ему доверять.

Для проверки доверия все центры сертификации выпускают собственные корневые сертификаты, которые позволяют убедиться, что сертификат выпущен именно этим удостоверяющим центром.

Корневые сертификаты известных издателей распространяются вместе с ОС и хранятся в особом системном хранилище, исключающем их случайную подмену.

Здесь существует один парадокс. Корневой сертификат удостоверяющего центра не является секретным, но доступ к нему в системе должен быть ограничен, так как в противном случае возможна атака типа человек посередине, и вы автоматически примете сертификат, подписанный злоумышленником.

По этой же причине требуется крайне внимательно относиться к сертификатам, которые вы устанавливаете в качестве доверенных корневых центров сертификации, так как после его установки вы будете автоматически доверять всем сертификатам выпущенным этим центром.

Также не следует путать самозаверенные сертификаты с сертификатами частных центров сертификации, например, корпоративным CA. С последними можно легко установить доверительные отношения (если вы действительно им доверяете) просто установив в систему нужный корневой сертификат.

Самозаверенный сертификат не имеет центра сертификации и доверительные отношения с ним установить не удастся, все что мы можем – это добавить его в исключения, чтобы не получать уведомлений системы безопасности.

Но это нужно сделать на каждой системе, при этом обязательно проверив тот ли это сертификат по отпечатку подписи. Но это способен сделать далеко не каждый пользователь и на практике даже добавления в исключения часто не происходит. Чаше всего предупреждение безопасности просто игнорируется, что является крайне плохой практикой, так как вам спокойно могут подменить сертификат, а вы даже не заметите.

Подведем итог: самозаверенный сертификат с точки зрения шифрования столь же безопасен, как и любой другой. Основная его проблема – это невозможность установить доверительные отношения и однозначно доверять ему без дополнительных проверок.

​​Похоже у Qiwi серьезные проблемы

Сегодня, 26 июля Центробанк ввел в отношении Киви ряд ограничительных мер.

Сами Киви говорят, что ничего серьезного и все под контролем:

По итогам проверки Банком России выполнения требований к составлению отчетности и ведению документации были выявлены недочеты, типичные для крупных организаций уровня КИВИ Банка.

Но если посмотреть на список ограничительных мер, то ситуация выглядит не очень хорошо, если не сказать очень нехорошо.

Что изменится в QIWI Кошельке?

– Появится лимит на вывод на карты и счета других банков – 1000 рублей в месяц
– Не получится вывести деньги из кошелька через СБП
– Не получится снимать наличные с QIWI Карт, даже в офисах QIWI и партнёров
– Не получится сделать перевод из QIWI Кошелька через Contact
– Не получится погасить кредит любого банка, кроме займов МФО

По факту заблокировано любое транзитное движение денег через кошелек. Все, что вы пока можете - это просто потратить их на покупки.

Кто более глубоко погружен в тему, тот скажет что подобные движения как раз характерны для отмывочно-обнальной деятельности и Киви в этом плане ждут серьезные проблемы.

Тем более, что претензии, по сути, справедливы. Киви особой разборчивостью не страдало и позволяло достаточно вольно гонять деньги.

Пока что вывести из Киви можно с комиссией на Юмани, ну или потратить. Хранить и заливать туда деньги категорически не рекомендую. По крайней мере пока не будет ясности.

​​И снова про TRIM

В очередной раз в общении с коллегами убеждаюсь, что очень многие неверно понимают назначение команды TRIM, приписывая ей чуть ли не волшебные качества, которыми она не обладает.

Хотя на самом деле все просто, TRIM просто указывает сборщику мусора на то, какие ячейки могут быть очищены. Ничего более эта команда не делает.

Скажу больше, в наши времена потребность в обязательном наличии и работе TRIM не так велика, как раньше.

Почему? Основное условие, обеспечивающее высокую производительность накопителя – это достаточный запас свободных ячеек. Поэтому и существуют рекомендации не заполнять SSD более чем на 70-75%, иначе никакой TRIM вам не поможет, и хоть с ним, хоть без него производительность устремиться к уровню плинтуса.

А теперь возьмем среднего объема накопитель, например, 512 ГБ. Если взять 25% от его емкости, то получим 128 ГБ – целый накопитель начального уровня. Поэтому даже если TRIM работает неэффективно, то запаса свободных ячеек нам с лихвой хватит на любую повседневную деятельность.

Другое дело тогда, когда 60 ГБ было много и круто. Там реально можно было столкнуться с ситуацией, что скачал архив, упаковал, установил и свободные ячейки закончились. И TRIM там был нужен и необходим, иначе становилось очень тоскливо.

Ну и совсем иная картина у нас в типичных серверных задачах и виртуальных машинах. О них мы напишем позже более подробную статью, где разберем все эти аспекты.

А пока предлагаем обновить свои знания и прочитать хоть и старую, но не потерявшую актуальность статью: https://interface31.ru/tech_it/2015/04/mozhno-li-effektivno-ispolzovat-ssd-bez-podderzhki-trim.html

​​Вчера мы поднимали вопрос TRIM, поэтому сегодня логично будет продолжить ликбезом по SSD.

Материалы не новые, но актуальные, так как фундаментально не поменялось ничего, а многие продолжают плавать в довольно базовых вещах.

▫️ Твердотельные накопители: что такое SLC, MLC, TLC, QLC, NVMe и прочие аббревиатуры?

▫️Как правильно выбрать NVMe SSD диск

​​Где взять платформу 1С:Предприятие?

Пользователи с таким вопросом регулярно появляются у нас на канале или комментариях на сайте.

Поэтому решили уделить несколько минут этому вопросу.

Начнем с юридических тонкостей. Платформа 1С не является предметом лицензирования, но и не находится в свободном доступе.

Поэтому чтобы получить ее, вы должны состоять с фирмой 1С в некоторых договорных отношениях. Дальнейшее распространение платформы лицам не имеющим договорных отношений с фирмой 1С является неправомерным.

Итак, начнем с официальных методов.

🔹 Подписка ИТС любого уровня позволяет скачивать любые версии платформы с https://releases.1c.ru

🔹 Базовая конфигурация при условии ее регистрации (даже Деньги за 600 руб.) также позволяет скачивать любые версии платформы с https://releases.1c.ru

🔹 Учетная запись разработчика https://developer.1c.ru дает возможность скачать одну из последних версий платформы из личного кабинета разработчика

Таким образом чтобы иметь возможность скачивать любые версии платформы вам нужно иметь или действующий договор ИТС, или зарегистрированную базовую конфигурацию.

Учетная запись разработчика такой возможности не дает!

Но, следует помнить, что все платформы, независимо от того, где вы их взяли, полностью одинаковы.

Поэтому можно скачать платформу с https://releases.1c.ru и использовать с комьюнити лицензией, или наоборот.

(Помним, что для лицензии разработчика нужна 23-я платформа и выше).

Теперь методы не совсем легальные:

🔸 Скачать с учетной записи заказчика, работодателя, друга, соседа...

🔸 Воспользоваться поиском по злачным местам интернета. Но в этом случае качайте именно оригинальную платформу, а не репаки или прочую дичь.

👆 Кроме того, до сих пор сохраняется возможность использовать серверную платформу без серверного ключа на платформе Linux. В этом случае будет доступно 12 подключений.

🚫 Однако следует понимать, что это просто технологическая особенность платформы и реальная эксплуатация в таком режиме является неправомерной!

​​28 июля - День системного администратора

Прочитал буквально вот только, что сегодня праздник, международный день системного администратора.

Сам я как-то такого праздника и не знал, нет, что-то когда-то слышал и возможно даже и поздравляли, и отмечали... Но, системно такого праздника ни у меня, ни у коллег не было.

Хотя праздник не нов, отцом-основателем праздника является американский системный администратор с 20-летним стажем Тед Кекатос, увидевший журнальную рекламу Hewlett-Packard, в которой установившего новые принтеры системного администратора благодарные пользователи одаривают цветами и корзинками фруктов.

Кекатос, недавно установивший несколько принтеров той же модели, решил создать специальный день, посвященный профессии системного администратора.

Первый такой день, устроенный Кекатосом, пришелся на пятницу 28 июля 2000 года. Это был просто пикник на природе на окраине Чикаго, в котором приняли участие члены небольшой софтверной компании. С тех пор праздник принято отмечать в последнюю пятницу июля.

Сейчас у праздника есть даже свой сайт: https://sysadminday.com

Подождите… что такое День системного администратора? О, это всего лишь самые лучшие 24 часа на планете... и, пожалуй, самый важный праздник в году.

Это также прекрасная возможность воздать должное героическим мужчинам и женщинам, которые, будь то дождь или солнце, предотвращают бедствия, обеспечивают безопасность ИТ и тушат технические пожары направо и налево.

В этот момент вы можете подумать: «Отлично. Я понимаю. Мой сисадмин — рок-звезда. Но что теперь? Рад, что вы спросили! Надлежащее соблюдение Дня системного администратора включает (но не ограничивается):

Далее идет список разных ништяков, пиво в списке отсутствует. 😄

Ну что я скажу... В целом затея хорошая, но не как междусобойчик, а как день, который напомнит пользователям, что рядом с ними есть такие люди, чью работу обычно не видно, но сразу прекрасно видно ее отсутствие.

Хотя каждый из нас прекрасно знает, что сисадмин - это лентяй, который ничего не делает.

Но не будем о грустном, все так праздник. И американская его трактовка мне нравится гораздо больше, чем его адаптированный вариант, который просто превращается в повод совместно побухать...

В общем - с праздником! И чтобы пользователи хоть иногда вспоминали вас добрым словом, а не только тогда, когда все поломалось...