Когда речь заходит про бесплатный программный Firewall, сразу же на ум приходит старый, проверенный временем firewall на базе Freebsd - pfSense. Там все настройки можно натыкать мышкой, но всё равно получится хорошо.
А вот если вы заядлый консольщик и не уважаете нубские GUI, то вам подойдёт другое решение - VyOS. Там только консоль, как в суровых профессиональных железках, типа Cisco или Juniper. Причём VyOS очень сильно напоминает синтаксис JunOS.
Из функционала в VyOS есть практически всё, что можно только пожелать:
▪ Routing: BGP (IPv4 and IPv6), OSPF (v2 and v3), RIP and RIPng, policy-based routing.
▪ VPN: IPsec, VTI, VXLAN, L2TPv3, L2TP/IPsec and PPTP servers, tunnel interfaces (GRE, IPIP, SIT), OpenVPN in client, server, or site-to-site mode, Wireguard.
▪ Firewall and NAT: Stateful firewalls, zone-based firewall, all types of source and destination NAT (one to one, one to many, many to many).
▪ Network services: DHCP and DHCPv6 server and relay, IPv6 RA, DNS forwarding, TFTP server, web proxy, PPPoE access concentrator, NetFlow/sFlow sensor, QoS.
▪ High availability: VRRP for IPv4 and IPv6, ability to execute custom health checks and transition scripts; ECMP, stateful load balancing.
Если во всём этом разобраться и настроить, то не стыдно будет признаться кому-нибудь прилюдно. Это не про Mikrotik упомянуть, за который сразу могут нахамить те, кто не смог с ним разобраться.
Под капотом у VyOS Debian и Iptables. Хотя сейчас уже возможно Nftables. Есть два режима обновлений: rolling (для отважных) и long term (для всех остальных). В общем, продукт известный, надежный и зрелый. Тут без шуток, рекомендую попробовать. Отлично заходит в качестве шлюза виртуальных машин гипервизора.
Сайт - https://vyos.io
#gateway
А вот если вы заядлый консольщик и не уважаете нубские GUI, то вам подойдёт другое решение - VyOS. Там только консоль, как в суровых профессиональных железках, типа Cisco или Juniper. Причём VyOS очень сильно напоминает синтаксис JunOS.
Из функционала в VyOS есть практически всё, что можно только пожелать:
▪ Routing: BGP (IPv4 and IPv6), OSPF (v2 and v3), RIP and RIPng, policy-based routing.
▪ VPN: IPsec, VTI, VXLAN, L2TPv3, L2TP/IPsec and PPTP servers, tunnel interfaces (GRE, IPIP, SIT), OpenVPN in client, server, or site-to-site mode, Wireguard.
▪ Firewall and NAT: Stateful firewalls, zone-based firewall, all types of source and destination NAT (one to one, one to many, many to many).
▪ Network services: DHCP and DHCPv6 server and relay, IPv6 RA, DNS forwarding, TFTP server, web proxy, PPPoE access concentrator, NetFlow/sFlow sensor, QoS.
▪ High availability: VRRP for IPv4 and IPv6, ability to execute custom health checks and transition scripts; ECMP, stateful load balancing.
Если во всём этом разобраться и настроить, то не стыдно будет признаться кому-нибудь прилюдно. Это не про Mikrotik упомянуть, за который сразу могут нахамить те, кто не смог с ним разобраться.
Под капотом у VyOS Debian и Iptables. Хотя сейчас уже возможно Nftables. Есть два режима обновлений: rolling (для отважных) и long term (для всех остальных). В общем, продукт известный, надежный и зрелый. Тут без шуток, рекомендую попробовать. Отлично заходит в качестве шлюза виртуальных машин гипервизора.
Сайт - https://vyos.io
#gateway
Для тех, кто ещё не сконвертировал все свои Centos 8 в какую-то другую систему, небольшая инструкция. Я ещё в декабре всё основное перевёл, что так или иначе контактирует с внешним миром. Теперь доделал потихоньку всё остальное (в основном свои системы - elk, gitlab и т.д.). Рекомендую всем это проделать, кто отложил на потом. Обновлений для Centos 8 больше нет. Более того, и репы основные закрыли.
Теперь перед конвертацией, нужно изменить репозитории. Идём в yum.repos.d и отключаем у всех базовых реп mirrorlist:
Вместо него раскомментируем baseurl и заменим
CentOS-Linux-BaseOS.repo должен выглядеть так:
Теперь можно конвертировать в Oracle Linux:
Дальше пойдёт конвертация. У меня ни разу не было проблем с ней. А вот после возникали иногда, когда обновлял систему. Иногда появляются проблемы с зависимостями, приходится в каждом конкретном случае разбираться.
Как уже ранее говорил, я все Centos 8 перевёл на Oracle Linux, а все новые установки теперь делаю на Debian.
#centos
Теперь перед конвертацией, нужно изменить репозитории. Идём в yum.repos.d и отключаем у всех базовых реп mirrorlist:
# cd /etc/yum.repos.d/# sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*Вместо него раскомментируем baseurl и заменим
mirror.centos.org на vault.centos.org:# sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*CentOS-Linux-BaseOS.repo должен выглядеть так:
[baseos]name=CentOS Linux $releasever - BaseOSbaseurl=http://vault.centos.org/$contentdir/$releasever/BaseOS/$basearch/os/gpgcheck=1enabled=1gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficialТеперь можно конвертировать в Oracle Linux:
# git clone https://github.com/oracle/centos2ol.git# cd centos2ol# screen# bash centos2ol.shДальше пойдёт конвертация. У меня ни разу не было проблем с ней. А вот после возникали иногда, когда обновлял систему. Иногда появляются проблемы с зависимостями, приходится в каждом конкретном случае разбираться.
Как уже ранее говорил, я все Centos 8 перевёл на Oracle Linux, а все новые установки теперь делаю на Debian.
#centos
Для Prometheus существует множество готовых решений для учёта SLA или SLO. Я уже помнится писал про одну - SLO tracker. Сейчас посмотрел похожую панельку, но она мне понравилась больше - Pyrra (https://github.com/pyrra-dev/pyrra). Выглядит симпатичнее и настраивается проще.
Для тех, кто захочет попробовать, в репе лежит пример с готовым docker-compose.yaml и конфигом pyrra, где в качестве примера взята метрика prometheus_http_requests_total и 5XX ошибки для неё. Сам конфиг в директории pyrra. Можно наглядно оценить, насколько просто и быстро она настраивается.
Готовая демка есть тут - https://demo.pyrra.dev. Можно посмотреть, как всё это выглядит. В репозитории есть все инструкции и описание, так что запустить не трудно. Мне хотелось бы что-то подобное получить для Zabbix, но ничего похожего и раньше не видел, и сейчас не смог найти. Всё самое современное, удобное, быстро настраиваемое пишут под пром.
Даже и не знаю, переползать на него что ли потихоньку в каких-то случаях. Не хочется две системы использовать, но сейчас реально гораздо быстрее и проще поднять мониторинг на Prometheus. Под него все экспортеры есть и готовые шаблоны, инструменты на любой вкус.
#devops #prometheus
Для тех, кто захочет попробовать, в репе лежит пример с готовым docker-compose.yaml и конфигом pyrra, где в качестве примера взята метрика prometheus_http_requests_total и 5XX ошибки для неё. Сам конфиг в директории pyrra. Можно наглядно оценить, насколько просто и быстро она настраивается.
Готовая демка есть тут - https://demo.pyrra.dev. Можно посмотреть, как всё это выглядит. В репозитории есть все инструкции и описание, так что запустить не трудно. Мне хотелось бы что-то подобное получить для Zabbix, но ничего похожего и раньше не видел, и сейчас не смог найти. Всё самое современное, удобное, быстро настраиваемое пишут под пром.
Даже и не знаю, переползать на него что ли потихоньку в каких-то случаях. Не хочется две системы использовать, но сейчас реально гораздо быстрее и проще поднять мониторинг на Prometheus. Под него все экспортеры есть и готовые шаблоны, инструменты на любой вкус.
#devops #prometheus
Расскажу вам про маленькую, но очень полезную утилиту, которая пригодится любому пользователю Windows, будь то десктопная или серверная система. Речь пойдёт про BlueScreenView (https://www.nirsoft.net/utils/blue_screen_view.html). Это маленькая программа, не требующая установки для запуска.
С помощью BlueScreenView можно быстро посмотреть аварийный дамп операционной системы, который она делает, когда падает в синий экран. Это первое средство, с помощью которого я начинаю разбираться с такого рода проблемами. Не могу сказать, что BlueScreenView прям всегда помогает, но иногда решает вопрос тут же, если причина зависания в каком-то драйвере или программе.
Например, антивирусы запросто могут вызывать синий экран. Много раз сталкивался с подобным и BlueScreenView тут же показывает проблемный файл, а по нему можно выяснить, какому софту он принадлежит. Удаляешь или обновляешь проблемный софт или драйвер и проблема тут же решена.
Конечно, так бывает не всегда. И если проблемным окажется файл ntoskrnl.exe, что бывает нередко, то тут простого решения нет, так как ntoskrnl.exe - ядро самой ОС. Для более детальной и вдумчивой отладки придётся использовать другой инструмент - Debugging Tools for Windows. Но с ним уже нужно разбираться и так просто не понять причину проблем, просто запустив отладчик.
Вспомнил про эти средства, потому что дома один из компов постоянно падает в синий экран при запуске. Потом автоматом перезагружается и нормально работает. Всё время откладываю решение вопроса, потому что комп особо не нужен никому, к тому же после перезагрузки работает. В некоторых дампах увидел упоминание драйвера usb. Решил пока отключить от компа все устройства, кроме клавы и мышки. Посмотрю, поможет ли. Проблема возникает не всегда, а время от времени. Такие ошибки труднее всего дебажить.
#windows
С помощью BlueScreenView можно быстро посмотреть аварийный дамп операционной системы, который она делает, когда падает в синий экран. Это первое средство, с помощью которого я начинаю разбираться с такого рода проблемами. Не могу сказать, что BlueScreenView прям всегда помогает, но иногда решает вопрос тут же, если причина зависания в каком-то драйвере или программе.
Например, антивирусы запросто могут вызывать синий экран. Много раз сталкивался с подобным и BlueScreenView тут же показывает проблемный файл, а по нему можно выяснить, какому софту он принадлежит. Удаляешь или обновляешь проблемный софт или драйвер и проблема тут же решена.
Конечно, так бывает не всегда. И если проблемным окажется файл ntoskrnl.exe, что бывает нередко, то тут простого решения нет, так как ntoskrnl.exe - ядро самой ОС. Для более детальной и вдумчивой отладки придётся использовать другой инструмент - Debugging Tools for Windows. Но с ним уже нужно разбираться и так просто не понять причину проблем, просто запустив отладчик.
Вспомнил про эти средства, потому что дома один из компов постоянно падает в синий экран при запуске. Потом автоматом перезагружается и нормально работает. Всё время откладываю решение вопроса, потому что комп особо не нужен никому, к тому же после перезагрузки работает. В некоторых дампах увидел упоминание драйвера usb. Решил пока отключить от компа все устройства, кроме клавы и мышки. Посмотрю, поможет ли. Проблема возникает не всегда, а время от времени. Такие ошибки труднее всего дебажить.
#windows
Продолжаю тему HelpDesk систем. Сегодня познакомлю вас с очень простым, бесплатным продуктом, который легко запустить, освоить и закрыть базовый функционал. Речь пойдёт про Hesk - веб портал технической поддержки на базе стандартного стека php + mysql.
Особенности Hesk:
▪ поддержка русского языка;
▪ функционал базы знаний;
▪ возможность создавать тикеты через отправку email;
▪ поддержка шаблонов тикетов и ответов;
▪ создание заявки пользователем без аутентификации.
У Hesk вполне приятный и интуитивный интерфейс. По идее, пользователям должно быть не сложно с ним освоиться, но это не точно. Им почти любая система, вынуждающая делать лишние действия, может показаться сложной.
Устанавливается Hesk как типичный веб движок. Качаете архив с исходниками и кладёте на веб сервер. Потом через браузер запускаете установщик. Предварительно нужно будет создать базу данных Mysql. Для девопсов какой-то добрый человек даже Docker контейнер собрал и поддерживает его. Там почти последняя версия Hesk 3.
У разработчиков Hesk есть более продвинутая платная версия Service Desk системы SysAid, так что Hesk скорее всего так и останется бесплатным в качестве заманухи и продвижения основного продукта.
Сайт - https://www.hesk.com
Demo - https://www.hesk.com/demo.php
#helpdesk
Особенности Hesk:
▪ поддержка русского языка;
▪ функционал базы знаний;
▪ возможность создавать тикеты через отправку email;
▪ поддержка шаблонов тикетов и ответов;
▪ создание заявки пользователем без аутентификации.
У Hesk вполне приятный и интуитивный интерфейс. По идее, пользователям должно быть не сложно с ним освоиться, но это не точно. Им почти любая система, вынуждающая делать лишние действия, может показаться сложной.
Устанавливается Hesk как типичный веб движок. Качаете архив с исходниками и кладёте на веб сервер. Потом через браузер запускаете установщик. Предварительно нужно будет создать базу данных Mysql. Для девопсов какой-то добрый человек даже Docker контейнер собрал и поддерживает его. Там почти последняя версия Hesk 3.
У разработчиков Hesk есть более продвинутая платная версия Service Desk системы SysAid, так что Hesk скорее всего так и останется бесплатным в качестве заманухи и продвижения основного продукта.
Сайт - https://www.hesk.com
Demo - https://www.hesk.com/demo.php
#helpdesk
Думаю все, или почти все знают сервис по проверке файлов на вирусы - virustotal. Я сам им периодически пользуюсь, когда надо быстро проверить скачанный из интернета файл. Есть боты для быстрой проверки через Telegram.
Я хочу вас познакомить с более продвинутым и полезным сервисом для бесплатных проверок файлов - hybrid-analysis.com Он выполняет проверку в том числе на virustotal, но помимо этого прогоняет софт через Falcon Sandbox. Выполняет установку, анализ после установки и отчёт.
Я для примера прогнал через этот сервис установщик Outline-Manager. Все проверки антивируса он проходит без проблем. А кое-какие дополнительные подробности можно увидеть через анализ в песочнице. На выходе будет информация о работе установщика, какие файлы, процессы порождает, куда обращается в интернете, скриншоты установки и много другой дополнительной информации.
Вердикт оказался - malicious (вредоносный). Почему именно такой, можно посмотреть в подробном отчёте. Я посмотрел по всем выпадающим спискам информацию. В целом, криминала там не увидел, а вердикт вынесен по совокупности факторов. Но есть о чём подумать. Софт то бесплатный, хоть и открытый. Но кто его внимательно смотрит? Возможно никто. Вот ссылка на общий отчёт.
По своей сути сервис является бесплатной версией и рекламой платного продукта Falcon Sandbox. Ограничение сервиса - принимаются на анализ файлы не более 100 мб.
#security
Я хочу вас познакомить с более продвинутым и полезным сервисом для бесплатных проверок файлов - hybrid-analysis.com Он выполняет проверку в том числе на virustotal, но помимо этого прогоняет софт через Falcon Sandbox. Выполняет установку, анализ после установки и отчёт.
Я для примера прогнал через этот сервис установщик Outline-Manager. Все проверки антивируса он проходит без проблем. А кое-какие дополнительные подробности можно увидеть через анализ в песочнице. На выходе будет информация о работе установщика, какие файлы, процессы порождает, куда обращается в интернете, скриншоты установки и много другой дополнительной информации.
Вердикт оказался - malicious (вредоносный). Почему именно такой, можно посмотреть в подробном отчёте. Я посмотрел по всем выпадающим спискам информацию. В целом, криминала там не увидел, а вердикт вынесен по совокупности факторов. Но есть о чём подумать. Софт то бесплатный, хоть и открытый. Но кто его внимательно смотрит? Возможно никто. Вот ссылка на общий отчёт.
По своей сути сервис является бесплатной версией и рекламой платного продукта Falcon Sandbox. Ограничение сервиса - принимаются на анализ файлы не более 100 мб.
#security
Долго искал интересное развлекательное видео, которое бы мне понравилось самому и захотелось поделиться с вами. Не всё же время обучающие уроки смотреть и выступления с конференций.
Предлагаю вам посмотреть A day in the life of a systems administrator.
https://www.youtube.com/watch?v=ZEU-EybN4Kk
Видео снял сисадмин из Maryland USA. Мне было интересно посмотреть, как начинается его день. Где он живет, как и на чём добирается до работы. Как выглядит его рабочее место и программное окружение, с которым он работает.
Немного неожиданно было увидеть рабочий день сильно похожий на такой же в обычном нашем офисе. Разница лишь в том, что у него, как я понял, действие происходит в какой-то провинции, а у нас там и офисных центров то нет. А так всё то же самое. Утро, чай (из пакетиков Lipton 😅), почта, алерты. Почитали, пора на обед. После обеда какое-то выступление, снова чай, поделали какие-то дела, пора домой :)
Я прям заскучал по такому графику, когда всё по расписанию. Давно так не живу и совершенно отвык, хотя иногда скучаю по рабочему дню с 9 до 18 и отпуском в 28 дней, когда не нужно ничего делать (но это не всегда так). Правда скука по тем временам моментально улетучивается, когда тебе в середине дня нужно куда-то съездить по личным делам. Ты берёшь и едешь.
#видео
Предлагаю вам посмотреть A day in the life of a systems administrator.
https://www.youtube.com/watch?v=ZEU-EybN4Kk
Видео снял сисадмин из Maryland USA. Мне было интересно посмотреть, как начинается его день. Где он живет, как и на чём добирается до работы. Как выглядит его рабочее место и программное окружение, с которым он работает.
Немного неожиданно было увидеть рабочий день сильно похожий на такой же в обычном нашем офисе. Разница лишь в том, что у него, как я понял, действие происходит в какой-то провинции, а у нас там и офисных центров то нет. А так всё то же самое. Утро, чай (из пакетиков Lipton 😅), почта, алерты. Почитали, пора на обед. После обеда какое-то выступление, снова чай, поделали какие-то дела, пора домой :)
Я прям заскучал по такому графику, когда всё по расписанию. Давно так не живу и совершенно отвык, хотя иногда скучаю по рабочему дню с 9 до 18 и отпуском в 28 дней, когда не нужно ничего делать (но это не всегда так). Правда скука по тем временам моментально улетучивается, когда тебе в середине дня нужно куда-то съездить по личным делам. Ты берёшь и едешь.
#видео
YouTube
A day in the life of a systems administrator
Udemy Bootcamp: https://www.udemy.com/course/it-support-technical-skills-training-part-1/
✅Try our Premium Membership for real-world courses, featuring 170+ lab courses with 15,000+ exercises
https://www.jobskillshare.org/membership
Premium covers a comprehensive…
✅Try our Premium Membership for real-world courses, featuring 170+ lab courses with 15,000+ exercises
https://www.jobskillshare.org/membership
Premium covers a comprehensive…
Технический пост, который уже давно нужно было сделать, но всё руки не доходили. На канале много содержательных заметок по различным темам. Иногда сам через поиск ищу то, о чём писал. Ниже набор наиболее популярных тэгов по которым можно найти что-то полезное (и не очень).
#remote - все, что касается удалённого управления компьютерами
#helpdesk - обзор helpdesk систем
#backup - софт для бэкапа и некоторые мои заметки по теме
#zabbix - всё, что касается системы мониторинга Zabbix
#мониторинг - в этот тэг иногда попадает Zabbix, но помимо него перечислено много различных систем мониторинга
#управление #ITSM - инструменты для управления инфраструктурой
#devops - в основном софт, который так или иначе связан с методологией devops
#kuber - небольшой цикл постов про работу с kubernetes
#chat - мои обзоры на популярные чат платформы, которые можно развернуть у себя
#бесплатно - в основном подборка всяких бесплатностей, немного бесплатных курсов
#сервис - сервисы, которые мне показались интересными и полезными
#security - заметки, так или иначе связанные с безопасностью
#webserver - всё, что касается веб серверов
#gateway - заметки на тему шлюзов
#mailserver - всё, что касается почтовых серверов
#elk - заметки по ELK Stack
#mikrotik - очень много заметок про Mikrotik
#proxmox - заметки о популярном гипервизоре Proxmox
#terminal - всё, что связано с работой в терминале
#bash - заметки с примерами полезных и не очень bash скриптов или каких-то команд. По просмотрам, комментариям, сохранениям самая популярная тематика канала.
#windows - всё, что касается системы Windows
#хостинг - немного информации и хостерах, в том числе о тех, кого использую сам
#vpn - заметки на тему VPN
#perfomance - анализ производительности сервера и профилирование нагрузки
#курсы - под этим тэгом заметки на тему курсов, которые я сам проходил, которые могу порекомендовать, а также некоторые бесплатные курсы
#игра - игры исключительно IT тематики, за редким исключением
#совет - мои советы на различные темы, в основном IT
#подборка - посты с компиляцией нескольких продуктов, объединённых одной тематикой
#отечественное - обзор софта из реестра отечественного ПО
#юмор - большое количество каких-то смешных вещей на тему IT, которые я скрупулезно выбирал, чтобы показать вам самое интересное. В самом начале есть шутки, которые придумывал сам, проводил конкурсы.
#мысли - мои рассуждения на различные темы, не только IT
#разное - этим тэгом маркирую то, что не подошло ни под какие другие, но при этом не хочется, чтобы материал терялся, так как я посчитал его полезным
#дети - информация на тему обучения и вовлечения в IT детей
#развитие_канала - серия постов на тему развития данного telegram канала
Остальные тэги публикую общим списком без комментариев, так как они про конкретный софт, понятный из названия тэга:
#docker #nginx #mysql #postgresql #gitlab #asterisk #openvpn #lxc #postfix #bitrix #икс #debian #hyperv #rsync #wordpress #zfs #grafana #iptables #prometheus #1с #waf #logs #netflow
#remote - все, что касается удалённого управления компьютерами
#helpdesk - обзор helpdesk систем
#backup - софт для бэкапа и некоторые мои заметки по теме
#zabbix - всё, что касается системы мониторинга Zabbix
#мониторинг - в этот тэг иногда попадает Zabbix, но помимо него перечислено много различных систем мониторинга
#управление #ITSM - инструменты для управления инфраструктурой
#devops - в основном софт, который так или иначе связан с методологией devops
#kuber - небольшой цикл постов про работу с kubernetes
#chat - мои обзоры на популярные чат платформы, которые можно развернуть у себя
#бесплатно - в основном подборка всяких бесплатностей, немного бесплатных курсов
#сервис - сервисы, которые мне показались интересными и полезными
#security - заметки, так или иначе связанные с безопасностью
#webserver - всё, что касается веб серверов
#gateway - заметки на тему шлюзов
#mailserver - всё, что касается почтовых серверов
#elk - заметки по ELK Stack
#mikrotik - очень много заметок про Mikrotik
#proxmox - заметки о популярном гипервизоре Proxmox
#terminal - всё, что связано с работой в терминале
#bash - заметки с примерами полезных и не очень bash скриптов или каких-то команд. По просмотрам, комментариям, сохранениям самая популярная тематика канала.
#windows - всё, что касается системы Windows
#хостинг - немного информации и хостерах, в том числе о тех, кого использую сам
#vpn - заметки на тему VPN
#perfomance - анализ производительности сервера и профилирование нагрузки
#курсы - под этим тэгом заметки на тему курсов, которые я сам проходил, которые могу порекомендовать, а также некоторые бесплатные курсы
#игра - игры исключительно IT тематики, за редким исключением
#совет - мои советы на различные темы, в основном IT
#подборка - посты с компиляцией нескольких продуктов, объединённых одной тематикой
#отечественное - обзор софта из реестра отечественного ПО
#юмор - большое количество каких-то смешных вещей на тему IT, которые я скрупулезно выбирал, чтобы показать вам самое интересное. В самом начале есть шутки, которые придумывал сам, проводил конкурсы.
#мысли - мои рассуждения на различные темы, не только IT
#разное - этим тэгом маркирую то, что не подошло ни под какие другие, но при этом не хочется, чтобы материал терялся, так как я посчитал его полезным
#дети - информация на тему обучения и вовлечения в IT детей
#развитие_канала - серия постов на тему развития данного telegram канала
Остальные тэги публикую общим списком без комментариев, так как они про конкретный софт, понятный из названия тэга:
#docker #nginx #mysql #postgresql #gitlab #asterisk #openvpn #lxc #postfix #bitrix #икс #debian #hyperv #rsync #wordpress #zfs #grafana #iptables #prometheus #1с #waf #logs #netflow
ServerAdmin.ru pinned «Технический пост, который уже давно нужно было сделать, но всё руки не доходили. На канале много содержательных заметок по различным темам. Иногда сам через поиск ищу то, о чём писал. Ниже набор наиболее популярных тэгов по которым можно найти что-то полезное…»
Посмотрел вчера отличное видео на тему плавающего IP (keepalived) и технологии VRRP. Автор очень понятно и доступно объясняет теорию на тему отказоустойчивого шлюза и тут же показывает практическую часть прям с конфигами, настройкой и запуском всего этого хозяйства. А потом тестирует работу при отказе одного из роутеров.
Очень качественный материал и подача. Мне хоть и не особо нужны подобные технологии, но всегда было интересно посмотреть, как это на практике выглядит и работает. Так что рекомендую. Поясню, что речь идёт о программных шлюзах на Linux. Если у вас микротики, можно не смотреть 😁
https://www.youtube.com/watch?v=YQvgO7jLJ7M
#видео #gateway
Очень качественный материал и подача. Мне хоть и не особо нужны подобные технологии, но всегда было интересно посмотреть, как это на практике выглядит и работает. Так что рекомендую. Поясню, что речь идёт о программных шлюзах на Linux. Если у вас микротики, можно не смотреть 😁
https://www.youtube.com/watch?v=YQvgO7jLJ7M
#видео #gateway
Мне нравится, как работает умная лента новостей Google, когда запускаешь Chrome на смартфоне. Постоянно читаю там новости. Они почти на 100% релевантны моим интересам. Накануне обновлял ELK Stack, пришлось повозиться с Enterprise Search. Так на следующий день мне в ленту насыпало немного информации по ELK, в том числе новость о выходе 8-й версии и изменениях безопасности в ней. Так как я ELK использую постоянно, решил прочитать и поделиться основными изменениями с вами.
Для тех, кто не в курсе, поясню, что изначально в ELK практически всё, что касалось безопасности, было платными дополнениями. Даже банальный доступ к стеку с авторизацией по логину и паролю. Со временем стали появляться форки, где этот функционал был реализован бесплатно, так что разработчикам Elastic пришлось пойти на уступки и тоже потихоньку добавлять этот функционал в бесплатную версию.
На текущий момент в версии 8.0 будет бесплатно доступен следующий функционал:
◽ Аутентификация пользователей
◽ Авторизация пользователей на основе ролей
◽ Kibana multi-tenancy, то есть разный доступ пользователей Kibana к объектам
◽ TLS соединения между нодами elasticsearch
◽ Доступ к Elasticsearch API по HTTPS
Когда я только начинал изучать ELK, всего этого не было и как только не приходилось изворачиваться, чтобы не показать лишнего тому, кому не следует. Приходилось использовать проксирование и basic auth, поднимать разные инстансы для разных команд, чтобы они не видели чужие логи. Сейчас стало очень удобно. Реально весь необходимый функционал есть в бесплатной версии. Я даже не знаю, за что там сейчас люди платят деньги.
У постоянных изменений ELK Stack есть и обратная сторона. Его хлопотно поддерживать. Он часто обновляется и это не всегда проходит легко и гладко. Даже в пределах одной ветки иногда обновления приводят к проблемам и надо очень внимательно готовиться к обновлению стека. У меня по умолчанию пакеты, связанные с ELK, отключаются от обновлений через пакетный менеджер. Всегда делаю это только вручную, чего и вам советую. Недавнее обновление в рамках 7-й версии тоже закончилось падением сервисов, так что пришлось повозиться. Благо, было технологическое окно для этого, и обязательно свежий бэкап и снепшот виртуалки. Если бы понял, что быстро не решу проблему, пришлось бы откатиться.
#elk #devops
Для тех, кто не в курсе, поясню, что изначально в ELK практически всё, что касалось безопасности, было платными дополнениями. Даже банальный доступ к стеку с авторизацией по логину и паролю. Со временем стали появляться форки, где этот функционал был реализован бесплатно, так что разработчикам Elastic пришлось пойти на уступки и тоже потихоньку добавлять этот функционал в бесплатную версию.
На текущий момент в версии 8.0 будет бесплатно доступен следующий функционал:
◽ Аутентификация пользователей
◽ Авторизация пользователей на основе ролей
◽ Kibana multi-tenancy, то есть разный доступ пользователей Kibana к объектам
◽ TLS соединения между нодами elasticsearch
◽ Доступ к Elasticsearch API по HTTPS
Когда я только начинал изучать ELK, всего этого не было и как только не приходилось изворачиваться, чтобы не показать лишнего тому, кому не следует. Приходилось использовать проксирование и basic auth, поднимать разные инстансы для разных команд, чтобы они не видели чужие логи. Сейчас стало очень удобно. Реально весь необходимый функционал есть в бесплатной версии. Я даже не знаю, за что там сейчас люди платят деньги.
У постоянных изменений ELK Stack есть и обратная сторона. Его хлопотно поддерживать. Он часто обновляется и это не всегда проходит легко и гладко. Даже в пределах одной ветки иногда обновления приводят к проблемам и надо очень внимательно готовиться к обновлению стека. У меня по умолчанию пакеты, связанные с ELK, отключаются от обновлений через пакетный менеджер. Всегда делаю это только вручную, чего и вам советую. Недавнее обновление в рамках 7-й версии тоже закончилось падением сервисов, так что пришлось повозиться. Благо, было технологическое окно для этого, и обязательно свежий бэкап и снепшот виртуалки. Если бы понял, что быстро не решу проблему, пришлось бы откатиться.
#elk #devops
Вы когда-нибудь публиковали в паблик свои пароли по ошибке? Я сам ни разу не замечал за собой такое, но от разработчиков видел подобное много раз. Один знакомый умудрился в публичные репы github выложить Dockerfiles нод криптовалют со своими кредами.
Есть достаточно известный продукт gitguardian (https://gitguardian.com) для автоматического сканирования репозиториев и обнаружения там приватных данных: токенов, паролей, сертификатов. Настраивается он просто, так как доступна готовая интеграция с популярными сервисами. А сам он работает по модели SaaS или self-hosted (только за деньги).
Есть бесплатная версия для небольших команд. У неё одно простое ограничение - не более 25 разработчиков на проект. Разработчиком в данном контексте является активный контрибьютор, который сделал хотя бы один коммит в течении последних 90 дней. Ограничение достаточно лояльное, так что бесплатная версия подойдёт для широкого круга небольших команд.
#git #devops #security #бесплатно
Есть достаточно известный продукт gitguardian (https://gitguardian.com) для автоматического сканирования репозиториев и обнаружения там приватных данных: токенов, паролей, сертификатов. Настраивается он просто, так как доступна готовая интеграция с популярными сервисами. А сам он работает по модели SaaS или self-hosted (только за деньги).
Есть бесплатная версия для небольших команд. У неё одно простое ограничение - не более 25 разработчиков на проект. Разработчиком в данном контексте является активный контрибьютор, который сделал хотя бы один коммит в течении последних 90 дней. Ограничение достаточно лояльное, так что бесплатная версия подойдёт для широкого круга небольших команд.
#git #devops #security #бесплатно
Безопасность IP-АТС Asterisk
Прежде чем продолжать тему безопасности в Asterisk я посмотрел 3,5 часовое видео на эту тему и рекомендую его всем, кому это актуально. Информация там интересная и полезная, потому что видно, рассказывает практик с большим опытом. Но из-за формата видео, оно очень длинное, а реально практической информации там от силы на пол часа. Тут бы идеально зашла статья с примерами реализации всего сказанного, но как я уже говорил, хорошие качественные статьи сейчас особо нет смысла писать, поэтому их и нет. Приходится довольствоваться такими вебинарами.
Сразу отмечу, что оставлять Asterisk доступным из интернета эта нормальная практика, если соблюдать определённые предосторожности. Автор как раз описал кейс, который есть у меня. Люди ездят в Европу и им нужна sip связь через смартфон, чтобы совершать звонки. С впнами или другими ограничениями у них там 100% возникнут какие-то проблемы. Этот вопрос можно проработать без закрытия прямого доступа к астеру.
💡 Итак, практические рекомендации из видео:
▪ Защита АТС на уровне сети. Обязательно Firewall с fail2ban, по возможности VPN и в отдельный VLAN всё, что связано с voip. Если есть возможность, на Firewall отключаем ненужные страны. Если умеем смотреть L7, отсекаем левые User-Agent, либо разрешаем только свои. Автор предложил ещё один любопытный способ защиты. Вешаем астер на рандомное доменное имя, которое никто не знает и отсекаем всех тех, кто обращается к серверу не по нему. Для этого тоже надо уметь смотреть L7. Либо еще один вариант защиты. Вешаем астер на 2 внешних ip, основной и второй как ловушка для ботов. Люди пользуются только одним ip, а всех, кто обращается ко второму баним сразу для обоих ip адресов. То есть используем технологию honey pot.
▪ Защита на уровне конфигурации. Тут целый набор рекомендаций: скрываем версию сервера, ставим сложные пароли, вводим pin коды для дорогих направлений, ставим call-limit, сажаем всех в разные контексты по группам, аккуратно настраиваем dialplan, разграничивая направления масками, запрещаем звонки ночью и в выходные, если не надо и т.д.
▪ Защита самой системы. Тут всё стандартно и ничего интересного. Защищаем саму ОС, обновляем своевременно систему и PBX и т.д. В общем, всё что админы и так стандартно должны делать, но иногда не делают, потому что не всегда можно просто взять и обновить Asterisk, особенно, если надо перейти на следующую ветку.
▪ Защита периферийного оборудования. Тут было много интересных историй и рекомендаций. Многие не обращают особое внимание на защиту, когда сервер закрыт в локалке или в vpn и не смотрит наружу. Но это особо ничего не гарантирует, потому что креды от пира могут утечь и внутри закрытого периметра. Один из таких случаев я, кстати, рассказывал. Взломали микротик и через него пробросили vpn к sip северу и звонили. В общем случае все меры предосторожности должны соблюдаться по максимуму, даже если астериск не доступен извне.
Отдельно расскажу про мониторинг. В видео про него практически ничего не было. Скажу, что я обычно мониторю на Asterisk:
◽ channels, которые видно через "sip show channels". Если появляется какой-то всплеск идёт оповещение и блокируется ip, который открывает их слишком много.
◽ количество исходящих звонков. Если их больше среднего, срабатывает триггер.
◽ статус некоторых пиров и транков
◽ работу службы Fail2ban, Iptables и наличие цепочек fail2ban в правилах
◽ отдельно смотрю в "sip show channels" спам инвайтами и баню тех, кто спамит слишком часто. Я не знаю, зачем некоторые это делают и чем опасен такой спам. Баню на всякий случай.
Остальной мониторинг по стандарту - загрузка ресурсов, трафик, аптайм, доступность, работа служб и т.д.
Отдельно дам рекомендацию тем, кто думает поднимать свою IP-АТС любой реализации. Если есть возможность, купите телефонию как сервис или наймите внешних подрядчиков на внедрение и поддержку. Это реально проблемная история, которая требует опыта и постоянной вовлечённости.
#asterisk #security
Прежде чем продолжать тему безопасности в Asterisk я посмотрел 3,5 часовое видео на эту тему и рекомендую его всем, кому это актуально. Информация там интересная и полезная, потому что видно, рассказывает практик с большим опытом. Но из-за формата видео, оно очень длинное, а реально практической информации там от силы на пол часа. Тут бы идеально зашла статья с примерами реализации всего сказанного, но как я уже говорил, хорошие качественные статьи сейчас особо нет смысла писать, поэтому их и нет. Приходится довольствоваться такими вебинарами.
Сразу отмечу, что оставлять Asterisk доступным из интернета эта нормальная практика, если соблюдать определённые предосторожности. Автор как раз описал кейс, который есть у меня. Люди ездят в Европу и им нужна sip связь через смартфон, чтобы совершать звонки. С впнами или другими ограничениями у них там 100% возникнут какие-то проблемы. Этот вопрос можно проработать без закрытия прямого доступа к астеру.
💡 Итак, практические рекомендации из видео:
▪ Защита АТС на уровне сети. Обязательно Firewall с fail2ban, по возможности VPN и в отдельный VLAN всё, что связано с voip. Если есть возможность, на Firewall отключаем ненужные страны. Если умеем смотреть L7, отсекаем левые User-Agent, либо разрешаем только свои. Автор предложил ещё один любопытный способ защиты. Вешаем астер на рандомное доменное имя, которое никто не знает и отсекаем всех тех, кто обращается к серверу не по нему. Для этого тоже надо уметь смотреть L7. Либо еще один вариант защиты. Вешаем астер на 2 внешних ip, основной и второй как ловушка для ботов. Люди пользуются только одним ip, а всех, кто обращается ко второму баним сразу для обоих ip адресов. То есть используем технологию honey pot.
▪ Защита на уровне конфигурации. Тут целый набор рекомендаций: скрываем версию сервера, ставим сложные пароли, вводим pin коды для дорогих направлений, ставим call-limit, сажаем всех в разные контексты по группам, аккуратно настраиваем dialplan, разграничивая направления масками, запрещаем звонки ночью и в выходные, если не надо и т.д.
▪ Защита самой системы. Тут всё стандартно и ничего интересного. Защищаем саму ОС, обновляем своевременно систему и PBX и т.д. В общем, всё что админы и так стандартно должны делать, но иногда не делают, потому что не всегда можно просто взять и обновить Asterisk, особенно, если надо перейти на следующую ветку.
▪ Защита периферийного оборудования. Тут было много интересных историй и рекомендаций. Многие не обращают особое внимание на защиту, когда сервер закрыт в локалке или в vpn и не смотрит наружу. Но это особо ничего не гарантирует, потому что креды от пира могут утечь и внутри закрытого периметра. Один из таких случаев я, кстати, рассказывал. Взломали микротик и через него пробросили vpn к sip северу и звонили. В общем случае все меры предосторожности должны соблюдаться по максимуму, даже если астериск не доступен извне.
Отдельно расскажу про мониторинг. В видео про него практически ничего не было. Скажу, что я обычно мониторю на Asterisk:
◽ channels, которые видно через "sip show channels". Если появляется какой-то всплеск идёт оповещение и блокируется ip, который открывает их слишком много.
◽ количество исходящих звонков. Если их больше среднего, срабатывает триггер.
◽ статус некоторых пиров и транков
◽ работу службы Fail2ban, Iptables и наличие цепочек fail2ban в правилах
◽ отдельно смотрю в "sip show channels" спам инвайтами и баню тех, кто спамит слишком часто. Я не знаю, зачем некоторые это делают и чем опасен такой спам. Баню на всякий случай.
Остальной мониторинг по стандарту - загрузка ресурсов, трафик, аптайм, доступность, работа служб и т.д.
Отдельно дам рекомендацию тем, кто думает поднимать свою IP-АТС любой реализации. Если есть возможность, купите телефонию как сервис или наймите внешних подрядчиков на внедрение и поддержку. Это реально проблемная история, которая требует опыта и постоянной вовлечённости.
#asterisk #security
Мне довелось познакомиться с HTTP протоколом для загрузки файлов с поддержкой докачки в случае обрыва связи или принудительной остановки загрузки. Речь пойдёт про tus (https://tus.io). Задача загрузки файлов куда-либо всегда была актуальна. Тот же ftp протокол сколько не хоронят, а всё равно используется. Я покажу вам один из неплохих и функциональных вариантов управления загрузкой.
Tus состоит из двух частей - клиента и сервера. Сервер написан на Go и представляет собой один бинарник. Можно просто скачать из репы и запустить, либо воспользоваться докер контейнером.
Бинарник под свою систему берём тут. Запускаем:
Используем Docker:
В первом случае для хранения файлов будет использоваться директория tmp, во втором случае /srv/tusd-data/data. Это дефолтное значение. В качестве хранилища для файлов может использоваться S3. Примеры настройки в документации. А та же различные облачные платформы.
Для загрузки файлов через tus используется клиент. Он есть практически под все языки программирования. Вот например на JavaScript - tus-js-client. Там же примеры использования. Нам сисадминам ближе python, так что будем использовать его:
Залили файл soft.rpm через запущенный tusd сервер. В консоль получили ссылку, по которой можно скачать этот файл.
Tusd сам поддерживает работу по tls. При желании его можно запустить за прокси сервером. Примеры есть в FAQ.
Продукт достаточно известный в определённых кругах и много кем используется. Например, Vimeo. На него можно лить файлы через tus-client. К сожалению, я не нашёл какой-то готовой реализации файлового обменника на базе tus. Так что готовую реализацию под себя придётся писать самостоятельно, если потребуется.
#сервис
Tus состоит из двух частей - клиента и сервера. Сервер написан на Go и представляет собой один бинарник. Можно просто скачать из репы и запустить, либо воспользоваться докер контейнером.
Бинарник под свою систему берём тут. Запускаем:
# ./tusd -upload-dir=/tmpИспользуем Docker:
# docker run tusproject/tusdВ первом случае для хранения файлов будет использоваться директория tmp, во втором случае /srv/tusd-data/data. Это дефолтное значение. В качестве хранилища для файлов может использоваться S3. Примеры настройки в документации. А та же различные облачные платформы.
Для загрузки файлов через tus используется клиент. Он есть практически под все языки программирования. Вот например на JavaScript - tus-js-client. Там же примеры использования. Нам сисадминам ближе python, так что будем использовать его:
# pip3 install -U tus.py# tus-upload soft.rpm http://192.168.13.123:1080/files/Залили файл soft.rpm через запущенный tusd сервер. В консоль получили ссылку, по которой можно скачать этот файл.
Tusd сам поддерживает работу по tls. При желании его можно запустить за прокси сервером. Примеры есть в FAQ.
Продукт достаточно известный в определённых кругах и много кем используется. Например, Vimeo. На него можно лить файлы через tus-client. К сожалению, я не нашёл какой-то готовой реализации файлового обменника на базе tus. Так что готовую реализацию под себя придётся писать самостоятельно, если потребуется.
#сервис
Продолжаю тему безопасности и бесплатных песочниц. В комментариях посоветовали сервис any.run. Я попробовал его и очень проникся. Классная штука. Сейчас расскажу, как он работает.
После регистрации, для которой нужен только email, вам дают доступ к виртуальной машине (проц i5, 4G оперативы), на которой вы можете запускать всё, что угодно. Эта виртуальная машина является песочницей для анализа действий запущенных программ. Выполняет полный анализ активности и поиск вредоносов.
Работает всё просто и чётко. После регистрации показывают наглядное обучение, чтобы сразу было понятно, как пользоваться сервисом. По сути вы получаете виртуальную машину на Windows с управлением через браузер.
Понятное дело, что такой сервис не может быть полностью бесплатным, поэтому у него есть существенные ограничения, если вы не хотите за него платить. В бесплатном тарифном плане следующие ограничения:
- максимальный размер исследуемого файла 16 мб;
- система только Windows 7 x32;
- анализ активности программы в течении 60 секунд после запуска.
Такой штукой можно и пользователей (родителей, жену) обучить пользоваться, чтобы проверять файлы из почты или скачанные документы из интернета, типа шаблонов для Word или каких-то pdf.
#security
После регистрации, для которой нужен только email, вам дают доступ к виртуальной машине (проц i5, 4G оперативы), на которой вы можете запускать всё, что угодно. Эта виртуальная машина является песочницей для анализа действий запущенных программ. Выполняет полный анализ активности и поиск вредоносов.
Работает всё просто и чётко. После регистрации показывают наглядное обучение, чтобы сразу было понятно, как пользоваться сервисом. По сути вы получаете виртуальную машину на Windows с управлением через браузер.
Понятное дело, что такой сервис не может быть полностью бесплатным, поэтому у него есть существенные ограничения, если вы не хотите за него платить. В бесплатном тарифном плане следующие ограничения:
- максимальный размер исследуемого файла 16 мб;
- система только Windows 7 x32;
- анализ активности программы в течении 60 секунд после запуска.
Такой штукой можно и пользователей (родителей, жену) обучить пользоваться, чтобы проверять файлы из почты или скачанные документы из интернета, типа шаблонов для Word или каких-то pdf.
#security
В комментариях к заметкам на тему хранения паролей и подключений к удалённым компьютерам я неоднократно получал рекомендацию посмотреть на Remote Desktop Manager. И вот только сейчас дошли руки. А жаль, что только сейчас. Программа мне реально понравилась.
Это такой персональный комбайн администратора для хранения информации о подключениях, паролях и многом другом, а так же для некоторого управления хостами. И всё это в бесплатной версии для одиночного использования. Платная версия позволяет всё то же самое и даже больше, но уже для командной работы с пользователями и разделением доступа.
RDM поддерживает какое-то бесконечное количество протоколов и софта для удаленного подключения. С его помощью можно подключаться по RDP, SSH, VNC, TELNET, ARD, TeamViewer и куче другого софта, представленного в виде дополнений для основной программы. Помимо компов, можно настроить подключения для передачи файлов по sftp, ftp, scp, webdav, amazon s3 и т. д. Список тоже огромный. Всё это открывается в отдельных вкладках.
В RDM можно также хранить пароли, ссылки на сайты, документы, VPN подключения, скрипты, подключения к базам данных, контакты, ссылки на объекты AD и многое другое. Это прям реальный комбайн, каких я ранее не видывал. При этом сделано всё достаточно удобно.
Remote Desktop Manager написан на чём-то тормозном, как почти весь современный софт, но зато доступен под любую систему - Windows, Linux, MacOS а также смартфоны. С помощью дополнительного компонента Remote Desktop Manager Agent, который устанавливается на хосты, можно управлять ими. Например, запускать скрипты, причём сразу для группы хостов.
Писать про Remote Desktop Manager можно много. Если вам нужен какой-то бесплатный софт для удалённых подключений, то советую присмотреться. Сам я лично для RDP использую mRemoteNG, а для SSH - Xshell 5-й версии, когда он был ещё без ограничений в бесплатной версии. Лично мне RDM понравился больше, чем mRemoteNG. Если бы выбирал сейчас, пользовался бы RDM для RDP. Насчёт SSH не уверен. Мне очень нравится Xshell, привык к нему.
Сайт - https://devolutions.net/remote-desktop-manager/
Обзор программы (~2 мин) - https://www.youtube.com/watch?v=n077ocxeV1g
#менеджеры_подключений
Это такой персональный комбайн администратора для хранения информации о подключениях, паролях и многом другом, а так же для некоторого управления хостами. И всё это в бесплатной версии для одиночного использования. Платная версия позволяет всё то же самое и даже больше, но уже для командной работы с пользователями и разделением доступа.
RDM поддерживает какое-то бесконечное количество протоколов и софта для удаленного подключения. С его помощью можно подключаться по RDP, SSH, VNC, TELNET, ARD, TeamViewer и куче другого софта, представленного в виде дополнений для основной программы. Помимо компов, можно настроить подключения для передачи файлов по sftp, ftp, scp, webdav, amazon s3 и т. д. Список тоже огромный. Всё это открывается в отдельных вкладках.
В RDM можно также хранить пароли, ссылки на сайты, документы, VPN подключения, скрипты, подключения к базам данных, контакты, ссылки на объекты AD и многое другое. Это прям реальный комбайн, каких я ранее не видывал. При этом сделано всё достаточно удобно.
Remote Desktop Manager написан на чём-то тормозном, как почти весь современный софт, но зато доступен под любую систему - Windows, Linux, MacOS а также смартфоны. С помощью дополнительного компонента Remote Desktop Manager Agent, который устанавливается на хосты, можно управлять ими. Например, запускать скрипты, причём сразу для группы хостов.
Писать про Remote Desktop Manager можно много. Если вам нужен какой-то бесплатный софт для удалённых подключений, то советую присмотреться. Сам я лично для RDP использую mRemoteNG, а для SSH - Xshell 5-й версии, когда он был ещё без ограничений в бесплатной версии. Лично мне RDM понравился больше, чем mRemoteNG. Если бы выбирал сейчас, пользовался бы RDM для RDP. Насчёт SSH не уверен. Мне очень нравится Xshell, привык к нему.
Сайт - https://devolutions.net/remote-desktop-manager/
Обзор программы (~2 мин) - https://www.youtube.com/watch?v=n077ocxeV1g
#менеджеры_подключений
Вчера случилось знаменательное событие. Я ещё не успел новость прочитать из официальной рассылки, как мне уже в личку начали писать, а потом и в комментариях к заметкам, что случилось невероятное - вышел в релиз Zabbix 6.0 LTS. Я смотрю это очень популярный продукт, даже популярнее Mikrotik. Когда зарелизилась RouterOS 7, не видел столько упоминаний об этом.
Надеюсь, все уже подготовились к обновлению и переехали с Centos 7, которую 6.0 не поддерживает? Я кое-где переехал уже, но не везде. Спешка в таких делах ни к чему. Прод пока не буду обновлять, надо подождать. Да и функционал новый не скажу, что прям сейчас сильно мне нужен.
📌 Основное, что добавили:
▪ HA кластер Zabbix Server из коробки. Не забываем, что кластер БД надо делать отдельно.
▪ Новый функционал Machine learning. На практике это более продвинутые триггеры, которые могут предсказывать события на основе поступающих метрик.
▪ Долгожданный шаблон для Kubernetes.
▪ Новые виджеты для дашборда, в том числе geomap.
▪ Мониторинг бизнес метрик и соответствие SLA. Пока не понял, как это в реальности выглядит. Читал что-то про измерение веса и значимости событий, зависимость служб и т.д.
▪ Новый журнал аудита. Полностью переписан весь механизм аудита, в том числе визуализация. Будут фиксироваться изменения не только на frontend, как сейчас, но и на сервере.
Из менее значимых обновлений: новые виджеты для дашбордов, новые типы айтемов, новые шаблоны и интеграции, обновления во внешнем виде веб интерфейса, улучшения производительности сервера и прокси, новые возможности просмотра истории и трендов.
В четверг, Feb 17, 2022 10:00 AM (MSK) будет вебинар на русском языке Что нового в Zabbix 6.0. Регистрация в zoom.
Официальная новость с полным описанием нововведений, картинками и прочей информацией. Обновление проходит штатно. С версии 5.0 можно сразу обновиться до 6.0, пропустив промежуточные версии. Достаточно подключить новую репу, удалить старую и обновить компоненты Zabbix. Я на тестовом проделал это, всё прошло без проблем. Минимальная версия MariaDB - 10.5, пришлось и её обновить. Буду теперь разбираться в новой версии. Так как это LTS, по любому нужно будет обновляться через некоторое время.
#zabbix
Надеюсь, все уже подготовились к обновлению и переехали с Centos 7, которую 6.0 не поддерживает? Я кое-где переехал уже, но не везде. Спешка в таких делах ни к чему. Прод пока не буду обновлять, надо подождать. Да и функционал новый не скажу, что прям сейчас сильно мне нужен.
📌 Основное, что добавили:
▪ HA кластер Zabbix Server из коробки. Не забываем, что кластер БД надо делать отдельно.
▪ Новый функционал Machine learning. На практике это более продвинутые триггеры, которые могут предсказывать события на основе поступающих метрик.
▪ Долгожданный шаблон для Kubernetes.
▪ Новые виджеты для дашборда, в том числе geomap.
▪ Мониторинг бизнес метрик и соответствие SLA. Пока не понял, как это в реальности выглядит. Читал что-то про измерение веса и значимости событий, зависимость служб и т.д.
▪ Новый журнал аудита. Полностью переписан весь механизм аудита, в том числе визуализация. Будут фиксироваться изменения не только на frontend, как сейчас, но и на сервере.
Из менее значимых обновлений: новые виджеты для дашбордов, новые типы айтемов, новые шаблоны и интеграции, обновления во внешнем виде веб интерфейса, улучшения производительности сервера и прокси, новые возможности просмотра истории и трендов.
В четверг, Feb 17, 2022 10:00 AM (MSK) будет вебинар на русском языке Что нового в Zabbix 6.0. Регистрация в zoom.
Официальная новость с полным описанием нововведений, картинками и прочей информацией. Обновление проходит штатно. С версии 5.0 можно сразу обновиться до 6.0, пропустив промежуточные версии. Достаточно подключить новую репу, удалить старую и обновить компоненты Zabbix. Я на тестовом проделал это, всё прошло без проблем. Минимальная версия MariaDB - 10.5, пришлось и её обновить. Буду теперь разбираться в новой версии. Так как это LTS, по любому нужно будет обновляться через некоторое время.
#zabbix
Snipe-IT - свободное и открытое приложения для управления IT ресурсами. Его отличает современный и удобный веб интерфейс, наличие API в бесплатной редакции, возможность без проблем установить на свой сервер. Продукт написан на php, на базе известного фреймворка Laravell, данные хранит в MySQL. Активно развивается уже много лет, новые версии выходят регулярно.
С помощью Snipe-IT можно вести учёт компьютеров, лицензий, программного обеспечения, расходников и периферии. Функционал и внешний вид похож на GLPI, но я не увидел возможности автоматической инвентаризации и обновления информации о железе, что есть в GLPI в виде дополнительного модуля.
В целом, Snipe-IT выглядит быстрее и легче GLPI, в некотором роде проще. GLPI большой комбайн, который с помощью плагинов даже helpdesk систему поднимает. Если подобный функционал избыточен и надо что-то попроще, то Snipe-IT подойдёт на эту роль. Плюс, GLPI - французский продукт, с документацией там не очень хорошо. У Snipe-IT отличная документация.
Установка Snipe-IT типовая для подобного рода продуктов. Поднимаете веб сервер, сервер БД, создаёте базу, закидываете исходники на веб сервер и запускаете установщик.
Судя по всему, продукт неплохой. Демка мне понравилась. Всё достаточно просто и логично для управления активами, плюс выглядит симпатично. Snipe-IT часто упоминали в комментариях, поэтому решил обратить на него внимание и рассказать вам. Для задач по ручному управлению всем it хозяйством я бы предпочёл именно Snipe-IT. Особенно понравилась возможность юзеров создавать запросы на оборудование, а вы уже у себя смотрите, чем можно этот запрос удовлетворить.
Сайт - https://snipeitapp.com/
Исходники - https://github.com/snipe/snipe-it
Demo - https://snipeitapp.com/demo
#управление #ITSM
С помощью Snipe-IT можно вести учёт компьютеров, лицензий, программного обеспечения, расходников и периферии. Функционал и внешний вид похож на GLPI, но я не увидел возможности автоматической инвентаризации и обновления информации о железе, что есть в GLPI в виде дополнительного модуля.
В целом, Snipe-IT выглядит быстрее и легче GLPI, в некотором роде проще. GLPI большой комбайн, который с помощью плагинов даже helpdesk систему поднимает. Если подобный функционал избыточен и надо что-то попроще, то Snipe-IT подойдёт на эту роль. Плюс, GLPI - французский продукт, с документацией там не очень хорошо. У Snipe-IT отличная документация.
Установка Snipe-IT типовая для подобного рода продуктов. Поднимаете веб сервер, сервер БД, создаёте базу, закидываете исходники на веб сервер и запускаете установщик.
Судя по всему, продукт неплохой. Демка мне понравилась. Всё достаточно просто и логично для управления активами, плюс выглядит симпатично. Snipe-IT часто упоминали в комментариях, поэтому решил обратить на него внимание и рассказать вам. Для задач по ручному управлению всем it хозяйством я бы предпочёл именно Snipe-IT. Особенно понравилась возможность юзеров создавать запросы на оборудование, а вы уже у себя смотрите, чем можно этот запрос удовлетворить.
Сайт - https://snipeitapp.com/
Исходники - https://github.com/snipe/snipe-it
Demo - https://snipeitapp.com/demo
#управление #ITSM
Очередная бесплатная система для организации тех. поддержки по заявкам - Freshdesk (freshdesk.com). На неё было много хороших отзывов. Система коммерческая, предоставляется как SaaS, установить у себя нельзя. Но у неё есть функциональный бесплатный тариф, который закрывает потребности небольшого бизнеса. Я видел отзывы, когда HelpDesk закрывали с помощью Freshdesk, а учёт техники бесплатным же Snipe-IT. Получалась простая, легкая в настройке и бесплатная связка, закрывающая базовые потребности IT отдела.
Для того, чтобы начать пользоваться Freshdesk, достаточно зарегистрироваться на сайте. Нужна только почта, никаких телефонов и карточек. Для вас сразу же будет создан поддомен третьего уровня на домене freshdesk.com, а также почтовый ящик с этим поддоменом. Письма, отправленные на этот ящик, автоматически превращаются в заявки.
После регистрации в лучших традициях маркетинга вам на 21 день подключат максимальный тариф Enterprise. Можно остаться на нём, либо сразу же переключиться на тариф Free и работать в рамках его возможностей.
Функционал у Freshdesk типовой для подобного рода продуктов. Можно добавлять контакты, компании, вести базу знаний, вручную заводить заявки. Сотрудник тех поддержки может через веб интерфейс отправить клиенту какое-то письмо, которое автоматически будет превращено в заявку, за которой получатель сможет следить. По вашей индивидуальной ссылке любой желающий сможет оставить заявку без регистрации и каких-либо еще движений. Сразу открывается форма для написания и ниже ваша база знаний. Тут же можно посмотреть статус уже созданной заявки.
Я немного погонял основной функционал. Всё работает просто и интуитивно. Заявки создаются как вручную, так и через почту, которую для вас сделали при создании аккаунта. Вполне себе годный, современный, с красивым интерфейсом продукт. Русификация хорошая, можно без проблем переключаться на русский язык. Бесплатной версии для обычной тикет системы достаточно.
#helpdesk #бесплатно
Для того, чтобы начать пользоваться Freshdesk, достаточно зарегистрироваться на сайте. Нужна только почта, никаких телефонов и карточек. Для вас сразу же будет создан поддомен третьего уровня на домене freshdesk.com, а также почтовый ящик с этим поддоменом. Письма, отправленные на этот ящик, автоматически превращаются в заявки.
После регистрации в лучших традициях маркетинга вам на 21 день подключат максимальный тариф Enterprise. Можно остаться на нём, либо сразу же переключиться на тариф Free и работать в рамках его возможностей.
Функционал у Freshdesk типовой для подобного рода продуктов. Можно добавлять контакты, компании, вести базу знаний, вручную заводить заявки. Сотрудник тех поддержки может через веб интерфейс отправить клиенту какое-то письмо, которое автоматически будет превращено в заявку, за которой получатель сможет следить. По вашей индивидуальной ссылке любой желающий сможет оставить заявку без регистрации и каких-либо еще движений. Сразу открывается форма для написания и ниже ваша база знаний. Тут же можно посмотреть статус уже созданной заявки.
Я немного погонял основной функционал. Всё работает просто и интуитивно. Заявки создаются как вручную, так и через почту, которую для вас сделали при создании аккаунта. Вполне себе годный, современный, с красивым интерфейсом продукт. Русификация хорошая, можно без проблем переключаться на русский язык. Бесплатной версии для обычной тикет системы достаточно.
#helpdesk #бесплатно
🛡 Про Fail2Ban знают практически все Linux админы, которые открывали какой-либо сервис для доступа через интернет. С его помощью можно анализировать лог файлы, находить там подозрительные действия и ip адреса исполнителей. А потом банить их с помощью firewall. Механизм простой и эффективный.
Долгое время я вообще не знал и не пробовал аналогов. Потом появился CrowdSec, который делает всё то же самое, что fail2ban, но сам чуть более сложный и продвинутый, разбит на компоненты, имеет шире функционал.
Помимо этих двух продуктов, которые работают только под Linux, есть похожая программа для Windows - IPBan. При этом его можно и на Linux поставить, но я не знаю, насколько он может быть актуален с учётом того, что там есть fail2ban. А вот для Windows имеет право на жизнь, особенно забесплатно. Особенно для защиты RDP. Кстати, подобная программа, но только для защиты RDP, есть попроще - RDP Defender.
Ставится IPBan очень просто. Для этого достаточно скачать архив из репозитория и запустить установщик, который создаст службу. Рядом будет лежать файл конфигурации с настройками. Он в XML формате, выглядит не очень наглядно. Для него в wiki есть описание параметров. По дефолту IPBan будет следить за службами: RDP, OpenSSH, VNC, MySQL, SQL Server и Exchange. После установки имеет смысл создать файл unban.txt и заполнить своими адресами, чтобы не получить бан самого себя по ошибке.
Какого-то интерфейса для управления IPBan нет. Он работает как служба и банит адреса с помощью встроенного фаервола в Windows. Для этого он создаёт отдельное правило и заполняет его адресами, которые нужно заблокировать.
Сайт - https://ipban.com/
Исходники - https://github.com/DigitalRuby/IPBan
Документация - https://github.com/DigitalRuby/IPBan/wiki
#security #windows
Долгое время я вообще не знал и не пробовал аналогов. Потом появился CrowdSec, который делает всё то же самое, что fail2ban, но сам чуть более сложный и продвинутый, разбит на компоненты, имеет шире функционал.
Помимо этих двух продуктов, которые работают только под Linux, есть похожая программа для Windows - IPBan. При этом его можно и на Linux поставить, но я не знаю, насколько он может быть актуален с учётом того, что там есть fail2ban. А вот для Windows имеет право на жизнь, особенно забесплатно. Особенно для защиты RDP. Кстати, подобная программа, но только для защиты RDP, есть попроще - RDP Defender.
Ставится IPBan очень просто. Для этого достаточно скачать архив из репозитория и запустить установщик, который создаст службу. Рядом будет лежать файл конфигурации с настройками. Он в XML формате, выглядит не очень наглядно. Для него в wiki есть описание параметров. По дефолту IPBan будет следить за службами: RDP, OpenSSH, VNC, MySQL, SQL Server и Exchange. После установки имеет смысл создать файл unban.txt и заполнить своими адресами, чтобы не получить бан самого себя по ошибке.
Какого-то интерфейса для управления IPBan нет. Он работает как служба и банит адреса с помощью встроенного фаервола в Windows. Для этого он создаёт отдельное правило и заполняет его адресами, которые нужно заблокировать.
Сайт - https://ipban.com/
Исходники - https://github.com/DigitalRuby/IPBan
Документация - https://github.com/DigitalRuby/IPBan/wiki
#security #windows
Вчера обновил один из личных серверов Zabbix, который в работе, до 6-й версии. Некоторые мои замечания и наблюдения.
Почему-то отвалились некоторые веб проверки. Где-то на трети сайтах. Так и не смог понять, что именно отличает эти сайты от других. Почему-то проверка не видит заданную строку на сайте, хотя она есть. Сами сайты не изменились. Не было времени долго разбираться. Придётся решать в ближайшее время.
Сам Zabbix говорит, что хочет видеть версию MariaDB не выше 10.6. Я же обновился сразу до 10.7. Всё работает нормально, так что не думаю, что с этим будут какие-то проблемы. С кодировками, кстати, проблем никаких не возникло. Хотя некоторые в комментариях к прошлой заметке написали, что у них они возникли. Если у вас при обновлении базы будут конфликты с зависимостями, посмотрите внимательно на проблемные пакеты. У меня стоял пакет mysql-common-8.0. Не знаю, откуда он взялся. Удалил его и спокойно обновил MariaDB.
Переделали раздел Latest Data (Последние данные). Теперь можно из готового списка выбрать нужный тэг. Это очень полезное нововведение. Фактически вернули то, что было до перехода на фильтрацию по тэгам, только стало более удобно. Все тэги сразу перед глазами. В 5.4 их приходилось по памяти вводить вручную и было очень неудобно. Я ждал, что что-то изменят, так как очевидно, что раздел стал менее функционален и удобен. Теперь исправили.
Понравился новый аудит. Достаточно удобно сделали. Искать в разделе Отчёты -> Аудит. Кто-то жаловался, что там спам записей. У себя такого не обнаружил. Всё по делу, лишнего не заметил.
Появился новый раздел Услуги. Там можно вести учёт SLA и SLO. Буквально недавно жаловался, что для Zabbix нет удобного инструмента для этого, в отличие от Prometheus. Но теперь этот вопрос решён, причем в готовом виде сразу встроенной в мониторинг подсистемой. Посмотрим дальше, насколько это будет удобно. Из функционала есть виджеты, отчёты, оповещения.
Сильно изменился интерфейс управления объектами. К примеру, свойства хоста открываются в общем списке в виде всплывающего окна поверх списка. Есть некоторые шероховатости нового интерфейса. Кое-где надписи наползают друг на друга. Скорее всего доработают в ближайших обновлениях. Я не сразу понял, как теперь посмотреть список айтемов, триггеров хоста. Подскажу, чтобы вы не искали. В общем списке хостов надо сразу нажать на ссылку Элементы данных или Триггеры. Раньше я туда попадал из свойств хоста, теперь оттуда пути к ним нет. В целом, стало удобнее работать с хостами. Меньше перезагрузок страницы.
Изменился раздел с графиками хоста. Добавилась фильтрация по тэгам, которые выведены тут же и можно одним кликом выбрать нужные. Удобно стало. Я тэги не так часто использовал, но сейчас имеет смысл пользоваться ими всегда. Они сильно облегчают фильтрацию, так как сейчас она есть почти везде.
Анонсированное Machine Lerning выражено в новых функциях триггеров forecast и timeleft. С их помощью можно предсказать значение через какое-то время или высчитать время достижения какого-то заданного порога. И на это настроить оповещение.
Понравились новые виджеты. Они немного разнообразят дашборды, но на фоне Grafana все равно выглядит блекло и не очень выразительно. Жаль, конечно. Ожидалось от нововведений внешнего вида какой-то большей красоты, но пока никак. Даже старые графики до сих пор не изменились. Судя по всему Zabbix ещё долго, если не всегда, будет не про красоту и разнообразие отображения. В принципе, это не страшно. Если нужна красота, то интеграция с Grafana настраивается быстро.
❗️Напомню отдельно, что при обновлении сервера не обновляются автоматически шаблоны и не добавляются новые. Их надо вручную скачать из репозитория и импортировать. А потом вручную заменить старый шаблон на новый. При удалении старого шаблона, очистится история связанных с ним айтемов.
У меня пока всё из того, что успел посмотреть. Если нашли какие-то ещё полезные изменения, делитесь в комментариях.
#zabbix
Почему-то отвалились некоторые веб проверки. Где-то на трети сайтах. Так и не смог понять, что именно отличает эти сайты от других. Почему-то проверка не видит заданную строку на сайте, хотя она есть. Сами сайты не изменились. Не было времени долго разбираться. Придётся решать в ближайшее время.
Сам Zabbix говорит, что хочет видеть версию MariaDB не выше 10.6. Я же обновился сразу до 10.7. Всё работает нормально, так что не думаю, что с этим будут какие-то проблемы. С кодировками, кстати, проблем никаких не возникло. Хотя некоторые в комментариях к прошлой заметке написали, что у них они возникли. Если у вас при обновлении базы будут конфликты с зависимостями, посмотрите внимательно на проблемные пакеты. У меня стоял пакет mysql-common-8.0. Не знаю, откуда он взялся. Удалил его и спокойно обновил MariaDB.
Переделали раздел Latest Data (Последние данные). Теперь можно из готового списка выбрать нужный тэг. Это очень полезное нововведение. Фактически вернули то, что было до перехода на фильтрацию по тэгам, только стало более удобно. Все тэги сразу перед глазами. В 5.4 их приходилось по памяти вводить вручную и было очень неудобно. Я ждал, что что-то изменят, так как очевидно, что раздел стал менее функционален и удобен. Теперь исправили.
Понравился новый аудит. Достаточно удобно сделали. Искать в разделе Отчёты -> Аудит. Кто-то жаловался, что там спам записей. У себя такого не обнаружил. Всё по делу, лишнего не заметил.
Появился новый раздел Услуги. Там можно вести учёт SLA и SLO. Буквально недавно жаловался, что для Zabbix нет удобного инструмента для этого, в отличие от Prometheus. Но теперь этот вопрос решён, причем в готовом виде сразу встроенной в мониторинг подсистемой. Посмотрим дальше, насколько это будет удобно. Из функционала есть виджеты, отчёты, оповещения.
Сильно изменился интерфейс управления объектами. К примеру, свойства хоста открываются в общем списке в виде всплывающего окна поверх списка. Есть некоторые шероховатости нового интерфейса. Кое-где надписи наползают друг на друга. Скорее всего доработают в ближайших обновлениях. Я не сразу понял, как теперь посмотреть список айтемов, триггеров хоста. Подскажу, чтобы вы не искали. В общем списке хостов надо сразу нажать на ссылку Элементы данных или Триггеры. Раньше я туда попадал из свойств хоста, теперь оттуда пути к ним нет. В целом, стало удобнее работать с хостами. Меньше перезагрузок страницы.
Изменился раздел с графиками хоста. Добавилась фильтрация по тэгам, которые выведены тут же и можно одним кликом выбрать нужные. Удобно стало. Я тэги не так часто использовал, но сейчас имеет смысл пользоваться ими всегда. Они сильно облегчают фильтрацию, так как сейчас она есть почти везде.
Анонсированное Machine Lerning выражено в новых функциях триггеров forecast и timeleft. С их помощью можно предсказать значение через какое-то время или высчитать время достижения какого-то заданного порога. И на это настроить оповещение.
Понравились новые виджеты. Они немного разнообразят дашборды, но на фоне Grafana все равно выглядит блекло и не очень выразительно. Жаль, конечно. Ожидалось от нововведений внешнего вида какой-то большей красоты, но пока никак. Даже старые графики до сих пор не изменились. Судя по всему Zabbix ещё долго, если не всегда, будет не про красоту и разнообразие отображения. В принципе, это не страшно. Если нужна красота, то интеграция с Grafana настраивается быстро.
❗️Напомню отдельно, что при обновлении сервера не обновляются автоматически шаблоны и не добавляются новые. Их надо вручную скачать из репозитория и импортировать. А потом вручную заменить старый шаблон на новый. При удалении старого шаблона, очистится история связанных с ним айтемов.
У меня пока всё из того, что успел посмотреть. Если нашли какие-то ещё полезные изменения, делитесь в комментариях.
#zabbix
