Ещё один пример того, чем пользуются юные "хакеры". Известный скрипт на Python для DDoS атак - MHDDoS. Для того, чтобы научиться защищаться от подобных инструментов, имеет смысл самому их изучить.
Я время от времени сталкиваюсь с атаками чем-то подобным. Последний раз мой сайт зачем-то пытались ддосить в конце февраля. Особо не парился с защитой, но одного fail2ban оказалось недостаточно. Очень много запросов было, логи разрастались молниеносно и fail2ban сам его вешал. Пришлось скрипт быстро набросать, чтобы в бан сразу улетали те, кто открывали с сервером больше 50 соединений. А сами логи отключил.
Хоть заметку и не об этом хотел сделать, но сразу покажу скрипт, так как наверняка будете спрашивать в комментариях.
Для этого лучше использовать ipset. Заранее добавить правило блокировки в iptables, а потом просто обновлять список. Но мне не захотелось заморачиваться и что-то перенастраивать. Просто напрямую в fail2ban стал отдавать ip адреса. Их было не много, поэтому решение нормально сработало, плюс писались логи самого fail2ban. Их можно было анализировать.
Возвращаемся к MHDDoS. Установить его просто, нужен только Python и Git:
Сразу можно запускать атаку. Для атаки L7 требуется список прокси. Если его нет, то скрипт автоматом скачает списки прокси от публичных сервисов, которые их предоставляют, проверит работоспособность и начнёт использовать. Проверка длится очень долго, так что пользоваться в таком виде не очень удобно. Лучше заранее обзавестись готовым списком. Их продают за 3-5$.
Атакуем сайт site.com атакой типа L7 методом GET с использованием всех доступных прокси (параметр 0), в 50 потоков, используя по 10 подключений к каждому прокси-серверу, в течении 30 секунд.
Для атаки уровня L4 прокси не нужны. Всё гораздо проще:
Атакуем dns сервер udp флудом по 53 порту в 1 поток в течении 30 секунд.
Всё довольно просто. Можете подолбить свои сервера и проверить защиту на них. От одного ip адреса злоумышленника отбиться не сложно. Я бы даже сказал очень просто, если есть хоть какая-то защита. Вы можете очень удивиться, но на практике есть куча сайтов, интернет магазинов, игровых серверов, которые ложатся от подобных атак даже с одного IP адреса. Не спрашивайте, откуда я это знаю 🤫
В сети можно найти различные вариации готовых инструментов на базе MHDDoS, которые и сразу списки прокси дают, и устанавливаются автоматически, и списки жертв могут автоматом откуда-то подтягивать. У меня нет цели учить кого-то ддосить, да я и сам не умею. Просто рассказываю, как это на практике может выглядеть.
❗️Как обычно предупреждаю, не надо запускать подобные штуки на своих рабочих машинах или серверах. Используйте какие-нибудь арендованные виртуалки.
Документация - https://github.com/MatrixTM/MHDDoS/wiki/Usage-of-script
#security #ddos
Я время от времени сталкиваюсь с атаками чем-то подобным. Последний раз мой сайт зачем-то пытались ддосить в конце февраля. Особо не парился с защитой, но одного fail2ban оказалось недостаточно. Очень много запросов было, логи разрастались молниеносно и fail2ban сам его вешал. Пришлось скрипт быстро набросать, чтобы в бан сразу улетали те, кто открывали с сервером больше 50 соединений. А сами логи отключил.
Хоть заметку и не об этом хотел сделать, но сразу покажу скрипт, так как наверняка будете спрашивать в комментариях.
#!/bin/baships=`netstat -ntu | grep -vE "(Address|servers|127.0.0.1)" \| awk '{print $5}' | cut -d ':' -f 1 | sort -n | uniq -c \| sort -n | awk '{if ($1 > 50 ) print $2}'`if [[ -z $ips ]]; then exit 0else for i in $ips do fail2ban-client -vvv set nginx-limit-conn banip $i donefiДля этого лучше использовать ipset. Заранее добавить правило блокировки в iptables, а потом просто обновлять список. Но мне не захотелось заморачиваться и что-то перенастраивать. Просто напрямую в fail2ban стал отдавать ip адреса. Их было не много, поэтому решение нормально сработало, плюс писались логи самого fail2ban. Их можно было анализировать.
Возвращаемся к MHDDoS. Установить его просто, нужен только Python и Git:
# git clone https://github.com/MatrixTM/MHDDoS.git# cd MHDDoS# pip install -r requirements.txtСразу можно запускать атаку. Для атаки L7 требуется список прокси. Если его нет, то скрипт автоматом скачает списки прокси от публичных сервисов, которые их предоставляют, проверит работоспособность и начнёт использовать. Проверка длится очень долго, так что пользоваться в таком виде не очень удобно. Лучше заранее обзавестись готовым списком. Их продают за 3-5$.
# python3 start.py GET https://site.com 0 50 proxy.txt 10 30Атакуем сайт site.com атакой типа L7 методом GET с использованием всех доступных прокси (параметр 0), в 50 потоков, используя по 10 подключений к каждому прокси-серверу, в течении 30 секунд.
Для атаки уровня L4 прокси не нужны. Всё гораздо проще:
# python3 start.py udp 1.1.1.1:53 1 30Атакуем dns сервер udp флудом по 53 порту в 1 поток в течении 30 секунд.
Всё довольно просто. Можете подолбить свои сервера и проверить защиту на них. От одного ip адреса злоумышленника отбиться не сложно. Я бы даже сказал очень просто, если есть хоть какая-то защита. Вы можете очень удивиться, но на практике есть куча сайтов, интернет магазинов, игровых серверов, которые ложатся от подобных атак даже с одного IP адреса. Не спрашивайте, откуда я это знаю 🤫
В сети можно найти различные вариации готовых инструментов на базе MHDDoS, которые и сразу списки прокси дают, и устанавливаются автоматически, и списки жертв могут автоматом откуда-то подтягивать. У меня нет цели учить кого-то ддосить, да я и сам не умею. Просто рассказываю, как это на практике может выглядеть.
❗️Как обычно предупреждаю, не надо запускать подобные штуки на своих рабочих машинах или серверах. Используйте какие-нибудь арендованные виртуалки.
Документация - https://github.com/MatrixTM/MHDDoS/wiki/Usage-of-script
#security #ddos
Из личного недавнего опыта история про импорт сертификата в Windows. Вообще, эта тема очень мной нелюбимая, потому что непонятная и глючная. Решил даже статью написать, потому что знаю, многим она поможет. У меня статья с переносом сертификатов Крипто Про уже несколько лет одна из самых популярных на сайте.
Стал недоступен комп, где установлен сертификат для сервисов контура, потому что ими не пользовались давно. Но серт стал нужен, чтобы зайти в личный кабинет ИП в налоговой. У меня был бэкап в виде запароленного pfx файла с контейнером закрытого ключа и самим сертификатом в формате cer.
Делаю как обычно импорт и получаю неинформативную ошибку: "Произошла внутренняя ошибка. Либо профиль пользователя недоступен, либо для импорта закрытого ключа требуется поставщик служб шифрования, который не установлен." Профиль на месте, Крипто Про установлена. Я ей пользовался раньше. Не понятно, в чём проблема.
Расскажу сразу, что в итоге помогло и в чём была проблема. Либо в лицензии Крипто Про, либо в версии. Лицензия у меня давно протухла, потому что для работы с сертификатами, которые выпускает сам Контур, лицензия не нужна. Она как-то хитро зашита в сами сертификаты и когда ими пользуешься, всё работает нормально. Но вот конкретно импорт не хотел работать и давал ошибку.
Я зашел на help.kontur.ru, сделал проверку рабочего места. Проверка предложила обновить Крипто Про и установить лицензию. Сделал это и сертификат успешно установился. Потом пришлось ещё прилично повозиться, чтобы зайти в ЛК налоговой по нему, но это уже отдельная тема.
Как я рад, что уже почти не занимаюсь этими сертификатами, только своими, либо знакомым помогаю. Как вспомню все эти личные кабинеты, тендерные площадки и т.д., так сразу хочется в домике спрятаться. С ними вечно были какие-то проблемы. То не экспортируется, то проверка не проходит, то пин потеряли, то версия браузера нужна какая-то конкретная, то кто-то просит на комп его скопировать, а это небезопасно, то ещё что-то. Знал человека, который работал на должности тех. поддержки по работе с этими площадками. Он только сертификатами на работе занимался и доступами по ним.
https://serveradmin.ru/import-pfx-sertifikata-proizoshla-vnutrennyaya-oshibka/
#разное #ошибка
Стал недоступен комп, где установлен сертификат для сервисов контура, потому что ими не пользовались давно. Но серт стал нужен, чтобы зайти в личный кабинет ИП в налоговой. У меня был бэкап в виде запароленного pfx файла с контейнером закрытого ключа и самим сертификатом в формате cer.
Делаю как обычно импорт и получаю неинформативную ошибку: "Произошла внутренняя ошибка. Либо профиль пользователя недоступен, либо для импорта закрытого ключа требуется поставщик служб шифрования, который не установлен." Профиль на месте, Крипто Про установлена. Я ей пользовался раньше. Не понятно, в чём проблема.
Расскажу сразу, что в итоге помогло и в чём была проблема. Либо в лицензии Крипто Про, либо в версии. Лицензия у меня давно протухла, потому что для работы с сертификатами, которые выпускает сам Контур, лицензия не нужна. Она как-то хитро зашита в сами сертификаты и когда ими пользуешься, всё работает нормально. Но вот конкретно импорт не хотел работать и давал ошибку.
Я зашел на help.kontur.ru, сделал проверку рабочего места. Проверка предложила обновить Крипто Про и установить лицензию. Сделал это и сертификат успешно установился. Потом пришлось ещё прилично повозиться, чтобы зайти в ЛК налоговой по нему, но это уже отдельная тема.
Как я рад, что уже почти не занимаюсь этими сертификатами, только своими, либо знакомым помогаю. Как вспомню все эти личные кабинеты, тендерные площадки и т.д., так сразу хочется в домике спрятаться. С ними вечно были какие-то проблемы. То не экспортируется, то проверка не проходит, то пин потеряли, то версия браузера нужна какая-то конкретная, то кто-то просит на комп его скопировать, а это небезопасно, то ещё что-то. Знал человека, который работал на должности тех. поддержки по работе с этими площадками. Он только сертификатами на работе занимался и доступами по ним.
https://serveradmin.ru/import-pfx-sertifikata-proizoshla-vnutrennyaya-oshibka/
#разное #ошибка
Как вы перезагружаете свой Linux?
Есть несколько способов перезагрузить систему Linux. Чаще всего используются 2 из них: консольные утилиты shutdown или reboot.
На первый взгляд они выполняют идентичное действие. Тогда не понятно, зачем печатать больше, если можно печатать меньше. Есть старое мнение, что эти команды работают по-разному. И тянется это с BSD систем. Насколько мне известно, как минимум в Linux это уже не так. C переходом на systemd, обе эти команды всего лишь символьные ссылки на /bin/systemctl и в этом легко убедиться.
Я же раньше слышал мнение, что shutdown сначала останавливает все запущенные процессы, ждёт их завершения, размонтирует все файловые системы и только после этого отдаёт команду ядру на выключение. А команда reboot сразу отправляет SIGKILL всем процессам для их немедленного завершения, ничего не дожидается и перезагружает систему. Её стоит использовать, когда обычный shutdown по какой-то причине не может перезагрузить сервер. Для современных Linux дистрибутивов это неверное утверждение.
Лично я сейчас все сервера перезагружаю через reboot из-за того, что в этой команде меньше шансов ошибиться и поставить не тот аргумент или опечататься.
Дам ещё небольшую подсказку в рамках этой темы. И shutdown, и reboot обращаются к бинарникам операционной системы. Если у вас какие-то проблемы с диском и не удаётся прочитать этот бинарник, то перезагрузка не состоится. Если запущена консоль, то можно через неё сразу передать команду на перезагрузку напрямую ядру:
Если же вы перед физической консолью сервера, то можно отправить команду через одну из комбинаций Linux Magic System Request Key - ALT-SysRq-b.
Возвращаясь к изначальной теме. У кого-нибудь есть точная информация на этот счёт? Есть ли ещё где-то разница между этими командами?
#linux
Есть несколько способов перезагрузить систему Linux. Чаще всего используются 2 из них: консольные утилиты shutdown или reboot.
# shutdown -r now# rebootНа первый взгляд они выполняют идентичное действие. Тогда не понятно, зачем печатать больше, если можно печатать меньше. Есть старое мнение, что эти команды работают по-разному. И тянется это с BSD систем. Насколько мне известно, как минимум в Linux это уже не так. C переходом на systemd, обе эти команды всего лишь символьные ссылки на /bin/systemctl и в этом легко убедиться.
# ls -l /usr/sbin/reboot/usr/sbin/reboot -> /bin/systemctl# ls -l /usr/sbin/shutdown/usr/sbin/shutdown -> /bin/systemctlЯ же раньше слышал мнение, что shutdown сначала останавливает все запущенные процессы, ждёт их завершения, размонтирует все файловые системы и только после этого отдаёт команду ядру на выключение. А команда reboot сразу отправляет SIGKILL всем процессам для их немедленного завершения, ничего не дожидается и перезагружает систему. Её стоит использовать, когда обычный shutdown по какой-то причине не может перезагрузить сервер. Для современных Linux дистрибутивов это неверное утверждение.
Лично я сейчас все сервера перезагружаю через reboot из-за того, что в этой команде меньше шансов ошибиться и поставить не тот аргумент или опечататься.
Дам ещё небольшую подсказку в рамках этой темы. И shutdown, и reboot обращаются к бинарникам операционной системы. Если у вас какие-то проблемы с диском и не удаётся прочитать этот бинарник, то перезагрузка не состоится. Если запущена консоль, то можно через неё сразу передать команду на перезагрузку напрямую ядру:
# echo b > /proc/sysrq-triggerЕсли же вы перед физической консолью сервера, то можно отправить команду через одну из комбинаций Linux Magic System Request Key - ALT-SysRq-b.
Возвращаясь к изначальной теме. У кого-нибудь есть точная информация на этот счёт? Есть ли ещё где-то разница между этими командами?
#linux
Делюсь с вами полезной находкой, которую развернул и протестировал сам. Речь пойдёт про почтовый сервер cuttlefish.io для отправки писем сайтами и приложениями. Случайно о нём узнал, когда искал какие-то современные веб клиенты для работы с почтовыми серверами. А то roundcube уже надоел, а sogo я не люблю. Надо что-то новое, удобное и современное.
Cuttlefish - почтовый сервер с веб интерфейсом, но заточен он на управление исходящими потоками. Думаю те, кто поддерживают сайты, знают, что работа с отправкой почты это отдельная головная боль. Важно следить за отправкой, за статусом отправленных писем. Очень желательно собирать статистику получателей, которые не принимают вашу почту, чтобы исключить их из рассылки. В общем, тут много нюансов.
Самый простой способ - использовать готовые сервисы для отправки. Но там тоже есть свои нюансы. Во-первых, это денег стоит, во-вторых, они начнут вас наказывать за отправку писем несуществующим ящикам, когда процент таких отправок будет расти до 10-15%, а может и раньше. За базой придётся следить, а это отнимает время и не всегда хочется подобным заниматься.
Так что собственный почтовый сервер имеет свои преимущества. Cuttlefish как раз заточен под такие задачи. Он умеет разделять потоки отправки по приложениям, сайтам. То есть можно один сервер использовать для разных проектов. В веб интерфейсе можно посмотреть все отправленные письма, прочитать их, отсортировать по статусам.
Всё это бесплатно, так как проект Open Source. Под капотом обычный Postfix. Есть API для интеграции. Тестовый сервер можно поднять в Docker через представленный docker-compose. В прод ставится через готовый плейбук ansible.
Я в прод не осилил установку, потому что надоело правки вносить. Каких-то особых проблем там нет, но нужно понимать ansible: поставить версию 2.8, там стоит проверка, на другой не запустится. Надо поправить имя пакета для python-minimal в одной из ролей, включить авторизацию по паролю для ssh, поменять имя хоста в инвентаре и т.д. Я всё это сделал, потом дошёл до роли с установкой newrelic infra и бросил это дело. Её надо убрать, или заполнить реквизиты доступа, если будете использовать.
В итоге для теста запустил всё через Docker. Там проблем никаких:
Обязательно ждём создания БД. Я в первый раз как-то упустил этот момент, база не создалась, приложение не стартовало.
Дальше идём в веб интерфейс на порт 3000, учётка для демо данных - joy@smart-unlimited.com / password. Чтобы всё корректно заработало, необходимо подготовить DNS записи как для обычного почтового сервера и не забыть про spf и ptr. Без этого тоже будет отправлять, но письма в спам улетят.
В рунете вообще не нашёл ни одного упоминания про этот почтовый сервер. Мне он показался полезным, поэтому заморочился и изучил его. Мне кажется, хороший инструмент для своей задачи.
Сайт - https://cuttlefish.io/
Исходники - https://github.com/mlandauer/cuttlefish
#mailserver
Cuttlefish - почтовый сервер с веб интерфейсом, но заточен он на управление исходящими потоками. Думаю те, кто поддерживают сайты, знают, что работа с отправкой почты это отдельная головная боль. Важно следить за отправкой, за статусом отправленных писем. Очень желательно собирать статистику получателей, которые не принимают вашу почту, чтобы исключить их из рассылки. В общем, тут много нюансов.
Самый простой способ - использовать готовые сервисы для отправки. Но там тоже есть свои нюансы. Во-первых, это денег стоит, во-вторых, они начнут вас наказывать за отправку писем несуществующим ящикам, когда процент таких отправок будет расти до 10-15%, а может и раньше. За базой придётся следить, а это отнимает время и не всегда хочется подобным заниматься.
Так что собственный почтовый сервер имеет свои преимущества. Cuttlefish как раз заточен под такие задачи. Он умеет разделять потоки отправки по приложениям, сайтам. То есть можно один сервер использовать для разных проектов. В веб интерфейсе можно посмотреть все отправленные письма, прочитать их, отсортировать по статусам.
Всё это бесплатно, так как проект Open Source. Под капотом обычный Postfix. Есть API для интеграции. Тестовый сервер можно поднять в Docker через представленный docker-compose. В прод ставится через готовый плейбук ansible.
Я в прод не осилил установку, потому что надоело правки вносить. Каких-то особых проблем там нет, но нужно понимать ansible: поставить версию 2.8, там стоит проверка, на другой не запустится. Надо поправить имя пакета для python-minimal в одной из ролей, включить авторизацию по паролю для ssh, поменять имя хоста в инвентаре и т.д. Я всё это сделал, потом дошёл до роли с установкой newrelic infra и бросил это дело. Её надо убрать, или заполнить реквизиты доступа, если будете использовать.
В итоге для теста запустил всё через Docker. Там проблем никаких:
# git clone https://github.com/mlandauer/cuttlefish# docker-compose run web bundle exec rake db:create db:schema:loadОбязательно ждём создания БД. Я в первый раз как-то упустил этот момент, база не создалась, приложение не стартовало.
# docker-compose run web bundle exec rake db:seed# docker-compose upДальше идём в веб интерфейс на порт 3000, учётка для демо данных - joy@smart-unlimited.com / password. Чтобы всё корректно заработало, необходимо подготовить DNS записи как для обычного почтового сервера и не забыть про spf и ptr. Без этого тоже будет отправлять, но письма в спам улетят.
В рунете вообще не нашёл ни одного упоминания про этот почтовый сервер. Мне он показался полезным, поэтому заморочился и изучил его. Мне кажется, хороший инструмент для своей задачи.
Сайт - https://cuttlefish.io/
Исходники - https://github.com/mlandauer/cuttlefish
#mailserver
Хорошее обзорное видео по мониторингу самого севера Zabbix от разработчиков. Оно на английском языке, но воспринимается легко, а если что-то не понятно, то можно включить субтитры или синхронный перевод в Яндекс.Браузере. Методичка для тех, у кого сервер начинает тормозить и надо начинать разбираться, с чем это связано и как решить проблемы.
Monitoring your Zabbix instance health - Zabbix caches and processes, Zabbix queue and housekeeper
https://www.youtube.com/watch?v=yfhmrRt_D4Y (24 минуты)
Основные моменты оттуда:
▪ используйте встроенные шаблоны для мониторинга за сервером и прокси, а также своевременно их обновляйте, так как изменения в них происходят регулярно
▪ первое, во что упирается производительность при дефолтных настройках - нехватка pollers, их можно добавить через настройки в основном конфиге сервера
▪ если не хватает trappers для обработки входящих запросов от активных агентов, веб интерфейс будет тупить и периодически показывать, что сервер в состоянии down, так как он не успевает обрабатывать входящие запросы от веб интерфейса, они в общей очереди с агентами
▪ важно следить за размером и заполнением кэшей, при необходимости увеличивать их значения в конфиге, на использование кэша сильно влияют большие интервалы в триггерах
▪ следите за количеством history sinkers, общая рекомендация - 1 процесс на каждые 1000 rps, но конечное значение будет зависеть в том числе и от скорости базы данных
▪ процесс housekeeper очищает БД от старых данных и очень сильно влияет на производительность БД, так как сильно нагружает её в момент чистки, следует настроить подходящие интервалы очистки в настройках в веб интерфейсе, либо отключить housekeeper, когда используются другие способы удаления старых данных (партицирование, timescaledb)
▪ проверяйте размер очередей в соответствующем разделе веб интерфейса, с их помощью можно понять, где конкретно возникает узкое место в поступлении или обработки данных.
#zabbix
Monitoring your Zabbix instance health - Zabbix caches and processes, Zabbix queue and housekeeper
https://www.youtube.com/watch?v=yfhmrRt_D4Y (24 минуты)
Основные моменты оттуда:
▪ используйте встроенные шаблоны для мониторинга за сервером и прокси, а также своевременно их обновляйте, так как изменения в них происходят регулярно
▪ первое, во что упирается производительность при дефолтных настройках - нехватка pollers, их можно добавить через настройки в основном конфиге сервера
▪ если не хватает trappers для обработки входящих запросов от активных агентов, веб интерфейс будет тупить и периодически показывать, что сервер в состоянии down, так как он не успевает обрабатывать входящие запросы от веб интерфейса, они в общей очереди с агентами
▪ важно следить за размером и заполнением кэшей, при необходимости увеличивать их значения в конфиге, на использование кэша сильно влияют большие интервалы в триггерах
▪ следите за количеством history sinkers, общая рекомендация - 1 процесс на каждые 1000 rps, но конечное значение будет зависеть в том числе и от скорости базы данных
▪ процесс housekeeper очищает БД от старых данных и очень сильно влияет на производительность БД, так как сильно нагружает её в момент чистки, следует настроить подходящие интервалы очистки в настройках в веб интерфейсе, либо отключить housekeeper, когда используются другие способы удаления старых данных (партицирование, timescaledb)
▪ проверяйте размер очередей в соответствующем разделе веб интерфейса, с их помощью можно понять, где конкретно возникает узкое место в поступлении или обработки данных.
#zabbix
Если у вас есть желание поменьше зависеть от облачных сервисов и побольше информации хранить у себя, то могу посоветовать хороший self-hosted сервис для хранения закладок - linkding. Это бесплатное Open Source решение с хорошим рейтингом и отзывами.
Linkding написан на Python, запускается в докере. Все свои данные хранит в одной указанной директории. Основные возможности:
- тэги для организации закладок
- поиск по названиям или тэгам
- автоматическое создание снепшотов закладок на основе archive.org
- импорт и экспорт закладок в HTML формат
- дополнения в Chrome и Firefox для работы с закладками
- REST API для интеграций
- используется SQLite для хранения данных
Запустить и попробовать проще простого:
Либо воспользоваться Demo.
Я попробовал, но мне особо не требуется такая штука, так как закладок очень мало. Давно заметил, что даже если что-то сохраню, потом всё равно не возвращаюсь. Мне достаточно 20-30 закладок на панели браузера для наиболее часто посещаемых ресурсов.
А саму тенденцию отказа от публичных сервисов я поддерживаю, если есть нормальная альтернатива. Например, все заметки или пароли храню только у себя. В браузерах пароли давно не сохраняю. Заметки храню в Joplin.
Исходники - https://github.com/sissbruecker/linkding
Demo - https://demo.linkding.link/
#разное
Linkding написан на Python, запускается в докере. Все свои данные хранит в одной указанной директории. Основные возможности:
- тэги для организации закладок
- поиск по названиям или тэгам
- автоматическое создание снепшотов закладок на основе archive.org
- импорт и экспорт закладок в HTML формат
- дополнения в Chrome и Firefox для работы с закладками
- REST API для интеграций
- используется SQLite для хранения данных
Запустить и попробовать проще простого:
# docker run --name linkding -p 9090:9090 \-v ~/linkding/data:/etc/linkding/data \-d sissbruecker/linkding:latestЛибо воспользоваться Demo.
Я попробовал, но мне особо не требуется такая штука, так как закладок очень мало. Давно заметил, что даже если что-то сохраню, потом всё равно не возвращаюсь. Мне достаточно 20-30 закладок на панели браузера для наиболее часто посещаемых ресурсов.
А саму тенденцию отказа от публичных сервисов я поддерживаю, если есть нормальная альтернатива. Например, все заметки или пароли храню только у себя. В браузерах пароли давно не сохраняю. Заметки храню в Joplin.
Исходники - https://github.com/sissbruecker/linkding
Demo - https://demo.linkding.link/
#разное
Хостинг от российского провайдера DDoS-Guard с защитой от DDoS-атак
Сегодня многие компании в РФ подвергаются массированным кибератакам и сталкиваются с замедлением работы сервисов.
Защищенный хостинг DDoS-Guard позволит обезопасить веб-ресурс от вредоносных атак на уровнях L3-L4 и L7, независимо от их масштаба и длительности. Гибкие тарифы подойдут для проектов любого масштаба. Доступны следующие опции:
• Ускорение загрузки страниц за счёт CDN
• Отсутствие дополнительных платежей при атаках
• Расположение серверов для хостинга в РФ
• Оптимизация для всех популярных CMS
• Управление хостингом с помощью cPanel
Узнать больше о тарифах и подключить защиту можно по ссылке: https://clck.ru/qFXfC
#реклама
Сегодня многие компании в РФ подвергаются массированным кибератакам и сталкиваются с замедлением работы сервисов.
Защищенный хостинг DDoS-Guard позволит обезопасить веб-ресурс от вредоносных атак на уровнях L3-L4 и L7, независимо от их масштаба и длительности. Гибкие тарифы подойдут для проектов любого масштаба. Доступны следующие опции:
• Ускорение загрузки страниц за счёт CDN
• Отсутствие дополнительных платежей при атаках
• Расположение серверов для хостинга в РФ
• Оптимизация для всех популярных CMS
• Управление хостингом с помощью cPanel
Узнать больше о тарифах и подключить защиту можно по ссылке: https://clck.ru/qFXfC
#реклама
В преддверии очередной конференции DevOpsConf 2022, организаторы на своём youtube канале выложили записи прошлогодней. Разом бахнули вообще всё, что было в прошлом году. Кто интересуется темой, рекомендую обратить внимание.
Сам я, скорее всего, всё просмотрю в фоновом режиме. Если что-то будет интересное, поделюсь с вами. Стараюсь просматривать доступные видео с профильных конференций. Обращает внимание на себя то, что выступают там часто одни и те же люди. Причём в один год они за одну компанию выступают, в другой уже за другую.
Становится понятно, насколько небольшой круг хороших специалистов, которые способны выступать. Очень узкая ниша. Если у вас есть способности к публичным выступлениям, рекомендую выступать. Это хорошее приложение времени и сил в развитие себя. В жизни пригодится возможно больше, чем непосредственно технические навыки.
#видео #devops
Сам я, скорее всего, всё просмотрю в фоновом режиме. Если что-то будет интересное, поделюсь с вами. Стараюсь просматривать доступные видео с профильных конференций. Обращает внимание на себя то, что выступают там часто одни и те же люди. Причём в один год они за одну компанию выступают, в другой уже за другую.
Становится понятно, насколько небольшой круг хороших специалистов, которые способны выступать. Очень узкая ниша. Если у вас есть способности к публичным выступлениям, рекомендую выступать. Это хорошее приложение времени и сил в развитие себя. В жизни пригодится возможно больше, чем непосредственно технические навыки.
#видео #devops
Недавно протестировал интересный сервис для управления парком Windows машин. Был очень впечатлён удобством и функциональностью. Раньше ничего подобного не видел. Речь пойдёт об action1.com.
Принцип работы следующий. Вы регистрируетесь на сайте и получаете готовую панель управления компьютерами. Для вас создают небольшое приложение в формате msi пакета, которое после установки на Windows систему, привязывает её к вашему личному кабинету.
А дальше вам доступны следующие вещи:
◽ удалённое подключение к компьютеру по rdp через браузер
◽ установка, удаление, обновление программ
◽ выключение или перезагрузка
◽ установка обновлений, всех или только критических
◽ запуск команд или powershell скриптов
◽ инвентаризация добавленных компов: информация о софте и железе
◽ встроенный в ЛК магазин популярных приложений, с помощью которого вы в несколько кликов можете их установить на выбранные компьютеры
◽ можно создавать политики и применять их к группам компьютеров
◽ можно создавать периодические задания для выполнения на компьютерах
◽ можно добавлять новых пользователей с доступом к ЛК и управлению
Этот сервис можно условно сравнить с AD в плане управления машинами и каким-то софтом по инвентаризации. Всё это сделано в очень упрощённом виде, управляется через веб интерфейс и интуитивно понятно. Я без проблем буквально за 30 минут проверил все возможности - удалённое подключение, установка программы, установка обновлений, просмотр информации об установленном оборудовании и программах.
Сервис платный, но есть бесплатный тарифный план, который позволяет добавить 100! компьютеров и управлять ими. На сайте обещают, что за них никогда не нужно будет платить, бесплатно навечно. Предложение очень щедрое. Мне реально понравилось, как всё устроено. Минус заметил только один - проблемы с кодировкой при отображении списка программ и обновлений, где используется русский язык в названиях.
Отдельно стоит вопрос безопасности всего этого дела. Компания Американская. Тут уже решать каждому по месту, стоит доверять подобным сервисам или нет. Скажу честно, немного сцыкатно, но с другой стороны, мы же используем повсеместно всякие anydesk и подобные программы. А чем они лучше этой? Предложение очень хорошее для небольших компаний, где AD нет и не имеет смысла покупать, внедрять.
Как считаете, имеет смысл подобным пользоваться или есть варианты получше?
Сайт - https://www.action1.com
#remote #itsm #windows
Принцип работы следующий. Вы регистрируетесь на сайте и получаете готовую панель управления компьютерами. Для вас создают небольшое приложение в формате msi пакета, которое после установки на Windows систему, привязывает её к вашему личному кабинету.
А дальше вам доступны следующие вещи:
◽ удалённое подключение к компьютеру по rdp через браузер
◽ установка, удаление, обновление программ
◽ выключение или перезагрузка
◽ установка обновлений, всех или только критических
◽ запуск команд или powershell скриптов
◽ инвентаризация добавленных компов: информация о софте и железе
◽ встроенный в ЛК магазин популярных приложений, с помощью которого вы в несколько кликов можете их установить на выбранные компьютеры
◽ можно создавать политики и применять их к группам компьютеров
◽ можно создавать периодические задания для выполнения на компьютерах
◽ можно добавлять новых пользователей с доступом к ЛК и управлению
Этот сервис можно условно сравнить с AD в плане управления машинами и каким-то софтом по инвентаризации. Всё это сделано в очень упрощённом виде, управляется через веб интерфейс и интуитивно понятно. Я без проблем буквально за 30 минут проверил все возможности - удалённое подключение, установка программы, установка обновлений, просмотр информации об установленном оборудовании и программах.
Сервис платный, но есть бесплатный тарифный план, который позволяет добавить 100! компьютеров и управлять ими. На сайте обещают, что за них никогда не нужно будет платить, бесплатно навечно. Предложение очень щедрое. Мне реально понравилось, как всё устроено. Минус заметил только один - проблемы с кодировкой при отображении списка программ и обновлений, где используется русский язык в названиях.
Отдельно стоит вопрос безопасности всего этого дела. Компания Американская. Тут уже решать каждому по месту, стоит доверять подобным сервисам или нет. Скажу честно, немного сцыкатно, но с другой стороны, мы же используем повсеместно всякие anydesk и подобные программы. А чем они лучше этой? Предложение очень хорошее для небольших компаний, где AD нет и не имеет смысла покупать, внедрять.
Как считаете, имеет смысл подобным пользоваться или есть варианты получше?
Сайт - https://www.action1.com
#remote #itsm #windows
Для управления удалённым подключениями к оборудованию и серверам существует не так много хороших программ. Наиболее известные из них я обозревал:
🟢 MobaXterm
🟢 Remote Desktop Manager
🟢 Remmina
⚫ mRemoteNG (нет обзора)
Из этого списка заслуживает внимания ещё один продукт - Royal TS/X. Я где-то видел мнение, что написали его авторы mRemote, после чего последний был заброшен, пока кто-то не подхватил его разработку и не обозвал уже mRemoteNG. Насколько достоверна эта информация, не знаю. Подтверждения не видел.
Возвращаюсь к Royal TS/X. Эта программа есть под Windows и под Mac, под Linux нет. Причём на Mac она особенно известна, так как там выбор не такой большой, как на Windows. Я попробовал её. Это, конечно, монструозный комбайн, который умеет очень много всего. Больше всего он похож на Remote Desktop Manager. Точно так же тормозит при запуске и в работе.
Основные возможности Royal TS/X:
◽ поддержка подключений по RDP, SSH, VNC и т.д. в том числе до веб интерфейсов железок
◽ поддержка подключений к консолям управления vmware, hyperv
◽ встроенная передача файлов по scp, ftp
◽ встроенная поддержка подключений через teamviewer
◽ запуск powershell, просмотр виндовых логов, диспетчера задач
◽ шифрованное хранение учётных данных подключений
◽ автоматизация с помощью задач
◽ использование ssh туннелей для подключений
Там много ещё всяких возможностей. Я даже не понял, для чего они нужны. Какие-то данные извне подтягивать можно и передавать в подключения.
Интерфейс у приложения специфичный и чем-то похож на плиточный внешний вид Microsoft Office. Я даже удивился, когда запустил программу.
Royal TS/X платная, но есть бесплатная версия с ограничениями:
- 10 настроенных подключений
- 10 сохранённых учетных данных
Ограничения похожи на MobaExterm, а Remote Desktop Manager бесплатен для личных целей без каких-то ограничений. Так что для личного пользования выбор очевиден. А вот для компаний, если есть возможность приобрести продукт, можно подумать, на чём остановиться.
Сайт - https://www.royalapps.com/ts/
#менеджеры_подключений
🟢 MobaXterm
🟢 Remote Desktop Manager
🟢 Remmina
⚫ mRemoteNG (нет обзора)
Из этого списка заслуживает внимания ещё один продукт - Royal TS/X. Я где-то видел мнение, что написали его авторы mRemote, после чего последний был заброшен, пока кто-то не подхватил его разработку и не обозвал уже mRemoteNG. Насколько достоверна эта информация, не знаю. Подтверждения не видел.
Возвращаюсь к Royal TS/X. Эта программа есть под Windows и под Mac, под Linux нет. Причём на Mac она особенно известна, так как там выбор не такой большой, как на Windows. Я попробовал её. Это, конечно, монструозный комбайн, который умеет очень много всего. Больше всего он похож на Remote Desktop Manager. Точно так же тормозит при запуске и в работе.
Основные возможности Royal TS/X:
◽ поддержка подключений по RDP, SSH, VNC и т.д. в том числе до веб интерфейсов железок
◽ поддержка подключений к консолям управления vmware, hyperv
◽ встроенная передача файлов по scp, ftp
◽ встроенная поддержка подключений через teamviewer
◽ запуск powershell, просмотр виндовых логов, диспетчера задач
◽ шифрованное хранение учётных данных подключений
◽ автоматизация с помощью задач
◽ использование ssh туннелей для подключений
Там много ещё всяких возможностей. Я даже не понял, для чего они нужны. Какие-то данные извне подтягивать можно и передавать в подключения.
Интерфейс у приложения специфичный и чем-то похож на плиточный внешний вид Microsoft Office. Я даже удивился, когда запустил программу.
Royal TS/X платная, но есть бесплатная версия с ограничениями:
- 10 настроенных подключений
- 10 сохранённых учетных данных
Ограничения похожи на MobaExterm, а Remote Desktop Manager бесплатен для личных целей без каких-то ограничений. Так что для личного пользования выбор очевиден. А вот для компаний, если есть возможность приобрести продукт, можно подумать, на чём остановиться.
Сайт - https://www.royalapps.com/ts/
#менеджеры_подключений
Ранее я уже рассказывал про Gitea. Это легковесная Open Source-система для управления Git-репозиториями, которую можно развернуть на своем сервере. Её отличает простота установки и настройки, а так же возможность использования базы sqlite. Для небольших проектов этого достаточно, зато никаких хлопот с обслуживанием и бэкапами.
Попробовать Gitea можно, запустив в Docker. Я решил ещё раз написать про неё, потому что попробовал тему - Gitea Modern. С ней совсем другой вид и впечатление от веб интерфейса. Внешний вид приятнее и функциональнее.
Вот готовый docker-compose.yml для запуска с этой темой по умолчанию:
Я добавил переменную GITEA_CUSTOM, а её содержимое попадает в volume, подключенный к ./gitea. Теперь надо сделать папку /data/gitea/public/css и положить туда файл темы theme-gitea-modern.css. Новую тему также надо добавить в конфиг /data/gitea/conf/app.ini. Добавляем в самый конец:
Больше от дефолтной установки ничего не менял. Теперь можно запустить и оценить новый вид веб интерфейса.
#git #devops
Попробовать Gitea можно, запустив в Docker. Я решил ещё раз написать про неё, потому что попробовал тему - Gitea Modern. С ней совсем другой вид и впечатление от веб интерфейса. Внешний вид приятнее и функциональнее.
Вот готовый docker-compose.yml для запуска с этой темой по умолчанию:
version: "3"networks: gitea: external: falseservices: server: image: gitea/gitea:1.16.8 container_name: gitea environment: - USER_UID=1000 - USER_GID=1000 - GITEA_CUSTOM=/data/gitea restart: always networks: - gitea volumes: - ./gitea:/data - /etc/timezone:/etc/timezone:ro - /etc/localtime:/etc/localtime:ro ports: - "3000:3000" - "222:22"Я добавил переменную GITEA_CUSTOM, а её содержимое попадает в volume, подключенный к ./gitea. Теперь надо сделать папку /data/gitea/public/css и положить туда файл темы theme-gitea-modern.css. Новую тему также надо добавить в конфиг /data/gitea/conf/app.ini. Добавляем в самый конец:
[ui]THEMES = gitea,gitea-modernDEFAULT_THEME = gitea-modernБольше от дефолтной установки ничего не менял. Теперь можно запустить и оценить новый вид веб интерфейса.
#git #devops
Подбираю себе новый рабочий ноутбук. До сих пор пользуюсь стареньким Thinkpad X220 c i7-2640M и 16 ГБ оперативы. Работаю в основном через док станцию с полноценной клавиатурой, мышкой и двумя мониторами. Иногда ношу ноут с собой по привычке, но пользуюсь редко вне помещений. Стал ощущать нехватку CPU. Долго браузер стартует, тяжелые страницы ощутимо подтормаживают при загрузке. Часто CPU загружен в потолок, особенно когда Zoom используешь, охлаждение шумит. Настало время отдать этого старичка жене или детям.
Присматривался к каким-то б.у. моделям Thinkpad трёхлетней давности, но заметил, что отзывы по ним уже не очень. И экраны, и клава хуже, да и в целом качество не то, что было. Я так понял, что уже нет смысла привязываться к ним.
Мне нужно что-то в районе 14'' экран, идеально, если 2 ssd можно воткнуть. Ну и обязательно работа с док станцией. Я привык везде брать с собой ноут, просто подключая его к док станции в тех местах, где приходится регулярно бывать.
Пока остановился на ThinkPad T470s или подороже и новее ThinkPad E14. А может вообще бахнуть рабочую станцию из серии P50-P53? Хороший проц, вплоть до Xeon, отдельная видюха. Вес вроде не такой большой - 2,5 кг. Всего на килограмм больше, чем у более компактных моделей, но зато гораздо больше производительность.
Что можете посоветовать из бизнес серии? Всё, что с док станцией, обычно в этой категории. Ну их, современные ThinkPad, или лучше всё равно ничего нет? Сами за каким железом работаете? На ноуте, кстати, будет Linux.
#железо
Присматривался к каким-то б.у. моделям Thinkpad трёхлетней давности, но заметил, что отзывы по ним уже не очень. И экраны, и клава хуже, да и в целом качество не то, что было. Я так понял, что уже нет смысла привязываться к ним.
Мне нужно что-то в районе 14'' экран, идеально, если 2 ssd можно воткнуть. Ну и обязательно работа с док станцией. Я привык везде брать с собой ноут, просто подключая его к док станции в тех местах, где приходится регулярно бывать.
Пока остановился на ThinkPad T470s или подороже и новее ThinkPad E14. А может вообще бахнуть рабочую станцию из серии P50-P53? Хороший проц, вплоть до Xeon, отдельная видюха. Вес вроде не такой большой - 2,5 кг. Всего на килограмм больше, чем у более компактных моделей, но зато гораздо больше производительность.
Что можете посоветовать из бизнес серии? Всё, что с док станцией, обычно в этой категории. Ну их, современные ThinkPad, или лучше всё равно ничего нет? Сами за каким железом работаете? На ноуте, кстати, будет Linux.
#железо
У меня задача прилетела, которую взялся решить. Хочу с вами обсудить варианты реализации и поделиться своим видением ситуации. Мне нужно будет разработать план реализации, сделать основное, написать инструкции, чтобы специалисты самой компании смогли масштабировать и внедрить самостоятельно в филиалах.
Есть сеть небольших магазинов примерно с 300 точками. Магазины по большей части очень маленькие за редким исключением. В основном это один компьютер, принтер, пару камер (шлют поток в облачный сервис), mikrotik в качестве роутера и 1-2 канала связи в интернет: проводной и резервный по lte.
Задачи:
1️⃣ Настроить автопереключение на резервный канал в интернете и возвращение на основной. Я уточнил, что все роутеры Mikrotik. С покупкой новых устройств проблем особо нет, так что планируют дальше покупать и использовать их. Эта задача простая, много раз её решал. Статья по теме: Резервирование канала в Микротик с lte модемом и переключение провайдера. На базе микротиков это решается легко.
2️⃣ Настроить мониторинг статусов каналов в интернет. Оповещать о переключении на резерв. Для мониторинга буду использовать Zabbix. Для этого надо будет всех объединять по VPN. Сам мониторинг дело техники и особых сложностей не вижу. Думаю, что буду собирать логи со всех роутеров по некоторым событиям и анализировать на сервере Zabbix.
3️⃣ C VPN у меня больше всего вопросов и тут нужны советы. Я не знаю, как лучше сделать. Если бы было 50-100 точек, то я бы особо не заморачиваясь поднял openvpn сервер и подключил все микротики к нему. Много раз так делал, проблем никаких. Но с количеством 300 и перспективами 500 точек, мне кажется, нужен другой подход. Надо как-то на подсети разбить это дело, наверное использовать l2tp сервер. Желательно, чтобы он был с управлением через веб интерфейс, чтобы людям обслуживать было проще. Там уровень обычной тех. поддержки и эникеев. Скорее всего динамическая маршрутизация понадобится. Тут пока не придумал, как лучше сделать. Я вообще в больших сетях не силён и никогда не работал с ними. На местах, думаю, везде дефолтные сети микротика настроены 192.168.88.0/24.
4️⃣ На замену подписки TeamViewer, которую больше не продлить, хочу предложить Tactical RMM + MeshCentral. Убиваем сразу 2-х зайцев, так как для инвентаризации тоже ничего нет. Всё хранится в табличках.
5️⃣ Надо заблокировать доступ к сайтам пожирателям времени и трафика, типа youtube, vk, ok и т.д. Список небольшой. Думаю средствами того же микротика и сделаю.
Инфраструктура под это дело будет в Яндекс.Облаке (выбор не мой). Что можете посоветовать? Или покритиковать предложенные мной варианты. Как бы сделали сами? Сейчас всё это управляется в ручном режиме с подключением по TV к компьютерам на местах. Прямого доступа к микротикам нет. Оказывается и так можно построить большую распределённую сеть филиалов даже без админа. Хватает интернета на местах и облачного софта как сервис для ведения деятельности (привет адептам "всё держать у себя", хотя бизнес давно уже предпочитает покупать сервисы).
Есть сеть небольших магазинов примерно с 300 точками. Магазины по большей части очень маленькие за редким исключением. В основном это один компьютер, принтер, пару камер (шлют поток в облачный сервис), mikrotik в качестве роутера и 1-2 канала связи в интернет: проводной и резервный по lte.
Задачи:
1️⃣ Настроить автопереключение на резервный канал в интернете и возвращение на основной. Я уточнил, что все роутеры Mikrotik. С покупкой новых устройств проблем особо нет, так что планируют дальше покупать и использовать их. Эта задача простая, много раз её решал. Статья по теме: Резервирование канала в Микротик с lte модемом и переключение провайдера. На базе микротиков это решается легко.
2️⃣ Настроить мониторинг статусов каналов в интернет. Оповещать о переключении на резерв. Для мониторинга буду использовать Zabbix. Для этого надо будет всех объединять по VPN. Сам мониторинг дело техники и особых сложностей не вижу. Думаю, что буду собирать логи со всех роутеров по некоторым событиям и анализировать на сервере Zabbix.
3️⃣ C VPN у меня больше всего вопросов и тут нужны советы. Я не знаю, как лучше сделать. Если бы было 50-100 точек, то я бы особо не заморачиваясь поднял openvpn сервер и подключил все микротики к нему. Много раз так делал, проблем никаких. Но с количеством 300 и перспективами 500 точек, мне кажется, нужен другой подход. Надо как-то на подсети разбить это дело, наверное использовать l2tp сервер. Желательно, чтобы он был с управлением через веб интерфейс, чтобы людям обслуживать было проще. Там уровень обычной тех. поддержки и эникеев. Скорее всего динамическая маршрутизация понадобится. Тут пока не придумал, как лучше сделать. Я вообще в больших сетях не силён и никогда не работал с ними. На местах, думаю, везде дефолтные сети микротика настроены 192.168.88.0/24.
4️⃣ На замену подписки TeamViewer, которую больше не продлить, хочу предложить Tactical RMM + MeshCentral. Убиваем сразу 2-х зайцев, так как для инвентаризации тоже ничего нет. Всё хранится в табличках.
5️⃣ Надо заблокировать доступ к сайтам пожирателям времени и трафика, типа youtube, vk, ok и т.д. Список небольшой. Думаю средствами того же микротика и сделаю.
Инфраструктура под это дело будет в Яндекс.Облаке (выбор не мой). Что можете посоветовать? Или покритиковать предложенные мной варианты. Как бы сделали сами? Сейчас всё это управляется в ручном режиме с подключением по TV к компьютерам на местах. Прямого доступа к микротикам нет. Оказывается и так можно построить большую распределённую сеть филиалов даже без админа. Хватает интернета на местах и облачного софта как сервис для ведения деятельности (привет адептам "всё держать у себя", хотя бизнес давно уже предпочитает покупать сервисы).
Всем доброго дня!
В ситуации отключений российскиx компаний от облачных сервисов, облачный провайдер Cloud4Y предлагает БЕСПЛАТНУЮ МИГРАЦИЮ 🔥 инфраструктуры на российскую облачную платформу с SLA 99.982%.
Мы "заморозили" цены ❄️ на уровне 2021 года на следующие категории услуг:
📌 Решения IaaS и «Облако ФЗ-152»
📌 Решения Disaster Recovery, катастрофоустойчивое решение SyncCluster
📌 Решения «Облачная 1С», «Корпоративная почта», «Облачное хранилище Nextcloud».
Мы готовы индивидуально обсуждать условия дополнительной поддержки вашего бизнеса.
Чтобы узнать подробности или бесплатно протестировать решения корпоративного облачного провайдера Cloud4Y обращайтесь к менеджерам Cloud4Y на ✉️ sales@cloud4y.ru или звоните по телефону: 📞 8 (495) 268 04 12.
#реклама
В ситуации отключений российскиx компаний от облачных сервисов, облачный провайдер Cloud4Y предлагает БЕСПЛАТНУЮ МИГРАЦИЮ 🔥 инфраструктуры на российскую облачную платформу с SLA 99.982%.
Мы "заморозили" цены ❄️ на уровне 2021 года на следующие категории услуг:
📌 Решения IaaS и «Облако ФЗ-152»
📌 Решения Disaster Recovery, катастрофоустойчивое решение SyncCluster
📌 Решения «Облачная 1С», «Корпоративная почта», «Облачное хранилище Nextcloud».
Мы готовы индивидуально обсуждать условия дополнительной поддержки вашего бизнеса.
Чтобы узнать подробности или бесплатно протестировать решения корпоративного облачного провайдера Cloud4Y обращайтесь к менеджерам Cloud4Y на ✉️ sales@cloud4y.ru или звоните по телефону: 📞 8 (495) 268 04 12.
#реклама
❓ Ко мне поступил вопрос от читателя, который я решил опубликовать, так как тема, как мне кажется, важная и полезная для многих IT трудяг.
Вопрос (орфография автора):
Здравствуйте уважаемые.
Прошу помощи советами, как определить дальнейшее развитие в сфере администрирования.
Мне 31, работаю 6 лет в хорошей компании в МСК.
В мои обязанности входит в основном it саппорт юзеров (я в единственном лице), немного администрирую winSRV для 1с, простую сеть на оборудовании юнифай, ростелекомосвкую облачную атс. В общем я менеджер - эникей. Не могу сказать что у меня глубокие какие-то знания по технологиям. Немного знаю сети, английский хуже среднего, но тех доки с переводчиком могу читать.
Очень устал от такой рутины, не знаю куда дальше развиваться. Самые сильные мои скилы - общение с людьми, организационная деятельность, взаимодействие и контроль с подрядчиками.
Прошу дать советы куда развиваться ? какие навыки прокачать ? Может дальше углубляться в администрирование ? Или девопс, или тестировщиком ? Как лучше курсы проходить ?
Полная каша в голове, ведь it cфера просто огромная.
Как мне показалось, ситуация типовая и я много встречал людей в подобной ситуации. Что посоветовал бы лично я:
1️⃣ Определиться, хочется ли реально развиваться дальше, расти, чего-то достигать. С учётом того, что уже 31 год, а развития даже в обычного сисадмина нет, мне кажется, что реального желания трудиться и развиваться нет. Возможно просто надоело текущее место работы, так как есть раздражители. Можно попробовать сменить место работы на более комфортное. Я знаю людей, которые очень долго работают в похожей ситуации и их всё устраивает. На работе есть свободное время, где-то подрабатывают на тех же простых задачах типа удалённой настройки и поддержки 1С на Win серверах и т.д. Суммарных доход выходит в среднем по больнице для обычного админа.
2️⃣ Если же реально хочется ударно потрудиться хотя бы год-два, существенно повысить скилы и получить другую должность и место работы, то с учётом вводных (общение с людьми, организационная деятельность, взаимодействие и контроль с подрядчиками) я бы двигался в сторону DevOps. Там как раз всё это нужно, а если организаторская деятельность реально на уровне, то можно двигаться выше в сторону тимлида девопсов или техдира.
3️⃣ По поводу курсов я бы не стал советовать что-то конкретное на начальном этапе. Сначала надо прощупать почву и понять, хочется ли реально всем этим заниматься. Первое и основное - изучать Linux. Материалов в сети огромное количество, от базы и далее. За основу можно взять плейлисты Кирилла Семаева - LPIC, Мануалы. Там база по Linux, которая не поменялась с момента записи этих видео. Если будет интерес и желание изучать всё это, то дальше можно будет подбирать курсы. Из того, что мне кажется максимально эффективным - курсы Rebrain, Слёрм. Стоят хороших денег, но экономят время. Если нет денег, но есть время, можно обойтись без них. Если наоборот, то можно покупать и учиться.
Если рассказать о себе, то я как раз примерно в это время (31-32 года, не помню точно) уволился с насиженного места, где проработал где-то те же 6-7 лет и круто изменил свою деятельность, да и жизнь. Тоже очень задолбала рутина и отсутствие перспектив. Так что всё реально. Главное:
a) найти себя и понять, что нравится, поставить цель
б) упорно трудиться изо дня в день, двигаться к цели
Лучше сделать и пожалеть, чем не сделать. Задолбавшая рутина никуда не уйдёт и будет долбить на психику всё сильнее и сильнее. Нужно что-то менять.
#вопрос_читателя
Вопрос (орфография автора):
Здравствуйте уважаемые.
Прошу помощи советами, как определить дальнейшее развитие в сфере администрирования.
Мне 31, работаю 6 лет в хорошей компании в МСК.
В мои обязанности входит в основном it саппорт юзеров (я в единственном лице), немного администрирую winSRV для 1с, простую сеть на оборудовании юнифай, ростелекомосвкую облачную атс. В общем я менеджер - эникей. Не могу сказать что у меня глубокие какие-то знания по технологиям. Немного знаю сети, английский хуже среднего, но тех доки с переводчиком могу читать.
Очень устал от такой рутины, не знаю куда дальше развиваться. Самые сильные мои скилы - общение с людьми, организационная деятельность, взаимодействие и контроль с подрядчиками.
Прошу дать советы куда развиваться ? какие навыки прокачать ? Может дальше углубляться в администрирование ? Или девопс, или тестировщиком ? Как лучше курсы проходить ?
Полная каша в голове, ведь it cфера просто огромная.
Как мне показалось, ситуация типовая и я много встречал людей в подобной ситуации. Что посоветовал бы лично я:
1️⃣ Определиться, хочется ли реально развиваться дальше, расти, чего-то достигать. С учётом того, что уже 31 год, а развития даже в обычного сисадмина нет, мне кажется, что реального желания трудиться и развиваться нет. Возможно просто надоело текущее место работы, так как есть раздражители. Можно попробовать сменить место работы на более комфортное. Я знаю людей, которые очень долго работают в похожей ситуации и их всё устраивает. На работе есть свободное время, где-то подрабатывают на тех же простых задачах типа удалённой настройки и поддержки 1С на Win серверах и т.д. Суммарных доход выходит в среднем по больнице для обычного админа.
2️⃣ Если же реально хочется ударно потрудиться хотя бы год-два, существенно повысить скилы и получить другую должность и место работы, то с учётом вводных (общение с людьми, организационная деятельность, взаимодействие и контроль с подрядчиками) я бы двигался в сторону DevOps. Там как раз всё это нужно, а если организаторская деятельность реально на уровне, то можно двигаться выше в сторону тимлида девопсов или техдира.
3️⃣ По поводу курсов я бы не стал советовать что-то конкретное на начальном этапе. Сначала надо прощупать почву и понять, хочется ли реально всем этим заниматься. Первое и основное - изучать Linux. Материалов в сети огромное количество, от базы и далее. За основу можно взять плейлисты Кирилла Семаева - LPIC, Мануалы. Там база по Linux, которая не поменялась с момента записи этих видео. Если будет интерес и желание изучать всё это, то дальше можно будет подбирать курсы. Из того, что мне кажется максимально эффективным - курсы Rebrain, Слёрм. Стоят хороших денег, но экономят время. Если нет денег, но есть время, можно обойтись без них. Если наоборот, то можно покупать и учиться.
Если рассказать о себе, то я как раз примерно в это время (31-32 года, не помню точно) уволился с насиженного места, где проработал где-то те же 6-7 лет и круто изменил свою деятельность, да и жизнь. Тоже очень задолбала рутина и отсутствие перспектив. Так что всё реально. Главное:
a) найти себя и понять, что нравится, поставить цель
б) упорно трудиться изо дня в день, двигаться к цели
Лучше сделать и пожалеть, чем не сделать. Задолбавшая рутина никуда не уйдёт и будет долбить на психику всё сильнее и сильнее. Нужно что-то менять.
#вопрос_читателя
Часто вижу на веб серверах, с которыми приходится работать, остатки всевозможных директорий и php файлов, которые оставляют разработчики. Особенно это актуально, если нанимают каких-нибудь фрилансеров для решения разовых задач. Они без проблем кладут учётные данные для подключения к БД прямо в корне сайта в txt файл, скрипты для сброса пароля админа, какой-нибудь временный скрипт для отладки с прямым доступом к базе и т.д. Иногда могут в директорию на сайте положить что-то (логи отладки или обмена), к чему не должен быть посторонний доступ, но потом забывают про это.
Я покажу на простом примере, почему так делать не надо. С помощью утилиты
ffuf и словарей можно довольно быстро найти какие-то файлы или директории на сайте, даже если с самого сайта на них нигде нет ссылок. Многим кажется, что этого достаточно для защиты информации. Типа никто о ней не узнает.
Для запуска ffuf достаточно скачать бинарник из репозитория. Так же нам понадобится словарь. Я не вникал никогда в тему поиска актуальных словарей, так как сам не занимаюсь подобными подборами. Для примера можно взять словари SecLists. Конкретно для нашей задачи - dirsearch.txt.
Сканирование запустил в 5 потоков. Если у вас на веб сервере нет никакой защиты на количество подключений, то по словарю вас просканят очень быстро и найдут папочку test или backup. Примерно то же самое можно сделать и для поиска поддоменов, которые тоже часто забывают, оставляя незакрытыми после тестирования или отладки.
Тут подойдёт словарь subdomains-top1million-110000.txt. Обращаю внимание, что конкретно ya.ru даёт 302 редирект на все подобные переборы. У него то ли защита такая, то ли просто настройки веб сервера. Если просканите свои сайты, результат скорее всего будет другой.
Я к чему всё это рассказал. Не кладите ничего лишнего в веб директории. А уж если положили, то хотя бы закройте через basic auth. Это не долго, но гарантированно защитит вас от доступа к закрытой информации.
Помню очень давно, когда только набирала популярность система контроля версий git, кто-то догадался просканить весь рунет на возможность доступа к директории .git. Были добыты исходники сотен сайтов, в том числе достаточно крупных.
https://github.com/ffuf/ffuf
https://github.com/danielmiessler/SecLists
#security #webserver
Я покажу на простом примере, почему так делать не надо. С помощью утилиты
ffuf и словарей можно довольно быстро найти какие-то файлы или директории на сайте, даже если с самого сайта на них нигде нет ссылок. Многим кажется, что этого достаточно для защиты информации. Типа никто о ней не узнает.
Для запуска ffuf достаточно скачать бинарник из репозитория. Так же нам понадобится словарь. Я не вникал никогда в тему поиска актуальных словарей, так как сам не занимаюсь подобными подборами. Для примера можно взять словари SecLists. Конкретно для нашей задачи - dirsearch.txt.
# ./ffuf -u https://ya.ru/FUZZ -t 5 \-w dirsearch.txt Сканирование запустил в 5 потоков. Если у вас на веб сервере нет никакой защиты на количество подключений, то по словарю вас просканят очень быстро и найдут папочку test или backup. Примерно то же самое можно сделать и для поиска поддоменов, которые тоже часто забывают, оставляя незакрытыми после тестирования или отладки.
# ./ffuf -u https://ya.ru -t 5 \-H 'Host: FUZZ.ya.ru' \-w subdomains-top1million-110000.txtТут подойдёт словарь subdomains-top1million-110000.txt. Обращаю внимание, что конкретно ya.ru даёт 302 редирект на все подобные переборы. У него то ли защита такая, то ли просто настройки веб сервера. Если просканите свои сайты, результат скорее всего будет другой.
Я к чему всё это рассказал. Не кладите ничего лишнего в веб директории. А уж если положили, то хотя бы закройте через basic auth. Это не долго, но гарантированно защитит вас от доступа к закрытой информации.
Помню очень давно, когда только набирала популярность система контроля версий git, кто-то догадался просканить весь рунет на возможность доступа к директории .git. Были добыты исходники сотен сайтов, в том числе достаточно крупных.
https://github.com/ffuf/ffuf
https://github.com/danielmiessler/SecLists
#security #webserver
Пожалуй самый простой способ получить информацию об IP без регистраций и смс:
Для красоты можно в jq обернуть:
Обратите внимание на ключ -s, который убирает прогресс бар. Постоянно забываю про него и ищу в гугле.
Очень полезно, если в консоли что-то разбираете. Например, логи веб сервера или странные пиры астериска. Можно тут же посмотреть, что за ip адрес вам надоедает.
Пост или сам сервис имеет смысл добавить в закладки.
#bash #сервис
# curl 'https://ifconfig.co/json?ip=1.1.1.1'Для красоты можно в jq обернуть:
# curl -s 'https://ifconfig.co/json?ip=1.1.1.1' | jqОбратите внимание на ключ -s, который убирает прогресс бар. Постоянно забываю про него и ищу в гугле.
Очень полезно, если в консоли что-то разбираете. Например, логи веб сервера или странные пиры астериска. Можно тут же посмотреть, что за ip адрес вам надоедает.
Пост или сам сервис имеет смысл добавить в закладки.
#bash #сервис
Я много раз упоминал в различных заметках о программе для управления подключениями к серверам и компьютерам mRemoteNG, но не сделал отдельной заметки по ней. При этом сам я этой программой пользуюсь и по сей день уже лет 5 точно, может и больше. Сейчас решил исправить это.
Напомню, что я уже писал обзоры на популярные программы из этой же серии:
🟢 MobaXterm
🟢 Remote Desktop Manager
🟢 Remmina
🟢 Royal TS/X
mRemoteNG наследница mRemote, которую я тоже использовал, но очень давно. Авторы её забросили, но были доступны исходники. В какой-то момент программу стали развивать дальше. То есть это бесплатный софт с открытым исходным кодом.
Изначально я использовал mRemoteNG вообще для всех подключений. В основном RDP и SSH. Для последнего она является просто оболочкой над putty, позволяя запускать подключения во вкладках и сохраняя у себя настройки соединений и учётные данные для подключений. В целом всё удобно, но меня конкретно достал один баг. Когда у тебя открыто несколько SSH подключений через mRemoteNG, в Windows ломается порядок окон, который выстраивается при нажатии ALT+TAB. А я постоянно использую эту комбинацию клавиш.
Выглядит этот баг следующим образом. Ты работаешь в какой-то программе, переключаешься на mRemoteNG с SSH подключением. Потом жмёшь ALT+TAB и хочешь вернуться в прошлое приложение, но тебя переключает на другое. Меня это жутко раздражало. В итоге все SSH соединения у меня переехали в другой софт, а mRemoteNG использую и по сей день для RDP подключений. Там проблем никаких нет. Сама программа вполне удобная и функциональная.
У меня используется какая-то очень старая портированная версия. Настройки и сами подключения хранятся в отдельных файлах и легко переносятся или сохраняются при желании. Иногда проверяю новые версии, но не нахожу там какого-то нового полезного функционала. А вот запускаются новые версии дольше, чем старые. Так что смысла в их использовании для себя не вижу. Специально проверил свою версию - 1.75 от 2017 года.
В итоге мне понравилась идея с разделением подключений по разным программам. Так даже удобнее. В основном только по RDP или SSH подключаюсь.
Сайт - https://mremoteng.org/
Исходники - https://github.com/mRemoteNG/mRemoteNG
#менеджеры_подключений
Напомню, что я уже писал обзоры на популярные программы из этой же серии:
🟢 MobaXterm
🟢 Remote Desktop Manager
🟢 Remmina
🟢 Royal TS/X
mRemoteNG наследница mRemote, которую я тоже использовал, но очень давно. Авторы её забросили, но были доступны исходники. В какой-то момент программу стали развивать дальше. То есть это бесплатный софт с открытым исходным кодом.
Изначально я использовал mRemoteNG вообще для всех подключений. В основном RDP и SSH. Для последнего она является просто оболочкой над putty, позволяя запускать подключения во вкладках и сохраняя у себя настройки соединений и учётные данные для подключений. В целом всё удобно, но меня конкретно достал один баг. Когда у тебя открыто несколько SSH подключений через mRemoteNG, в Windows ломается порядок окон, который выстраивается при нажатии ALT+TAB. А я постоянно использую эту комбинацию клавиш.
Выглядит этот баг следующим образом. Ты работаешь в какой-то программе, переключаешься на mRemoteNG с SSH подключением. Потом жмёшь ALT+TAB и хочешь вернуться в прошлое приложение, но тебя переключает на другое. Меня это жутко раздражало. В итоге все SSH соединения у меня переехали в другой софт, а mRemoteNG использую и по сей день для RDP подключений. Там проблем никаких нет. Сама программа вполне удобная и функциональная.
У меня используется какая-то очень старая портированная версия. Настройки и сами подключения хранятся в отдельных файлах и легко переносятся или сохраняются при желании. Иногда проверяю новые версии, но не нахожу там какого-то нового полезного функционала. А вот запускаются новые версии дольше, чем старые. Так что смысла в их использовании для себя не вижу. Специально проверил свою версию - 1.75 от 2017 года.
В итоге мне понравилась идея с разделением подключений по разным программам. Так даже удобнее. В основном только по RDP или SSH подключаюсь.
Сайт - https://mremoteng.org/
Исходники - https://github.com/mRemoteNG/mRemoteNG
#менеджеры_подключений
Managed Kubernetes в @Selectel
Упростите процесс развертывания, масштабирования и обслуживания контейнерной инфраструктуры с сервисом Managed Kubernetes.
Почему стоит выбрать Managed Kubernetes в Selectel:
— Вы можете создать кластер любой конфигурации в несколько кликов. А когда потребуется подстроиться под растущую нагрузку приложения, сможете добавить в кластер до 120 нод.
— Управлять кластерами можно через панель управления, с помощью API сервиса или собственного Terraform-провайдера.
— В Selectel — больше 43 продуктов. Можно не только настроить кластеры Kubernetes, но и хранить образы контейнеров в Container Registry, подключить облачное хранилище с поддержкой S3, файловое хранилище, развернуть облачные базы данных, связать облака и серверы L3 VPN и защититься от DDOS-атак.
— Мы несем ответственность по SLA за доступность кластера и бесперебойную работу Control Plane.
Переходите по ссылке, чтобы узнать подробнее: https://slc.tl/8ptz1
#реклама
Упростите процесс развертывания, масштабирования и обслуживания контейнерной инфраструктуры с сервисом Managed Kubernetes.
Почему стоит выбрать Managed Kubernetes в Selectel:
— Вы можете создать кластер любой конфигурации в несколько кликов. А когда потребуется подстроиться под растущую нагрузку приложения, сможете добавить в кластер до 120 нод.
— Управлять кластерами можно через панель управления, с помощью API сервиса или собственного Terraform-провайдера.
— В Selectel — больше 43 продуктов. Можно не только настроить кластеры Kubernetes, но и хранить образы контейнеров в Container Registry, подключить облачное хранилище с поддержкой S3, файловое хранилище, развернуть облачные базы данных, связать облака и серверы L3 VPN и защититься от DDOS-атак.
— Мы несем ответственность по SLA за доступность кластера и бесперебойную работу Control Plane.
Переходите по ссылке, чтобы узнать подробнее: https://slc.tl/8ptz1
#реклама
▶️ Proxmox из коробки поддерживает технологию Cloud-Init. С её помощью можно создать шаблон для виртуальных машин, который будет включать в себя следующие настройки:
▪ системные пользователи
▪ сетевые настройки
▪ hostname
▪ ssh ключи
Эта технология актуальна для больших облачных сред. Упрощает и ускоряет запуск преднастроенных виртуальных машин. Конкретно в Proxmox я вижу удобство для использования в тестовых лабах, где постоянно создаются и удаляются новые виртуальные машины. Лично я всё тестирую на паре своих тестовых гипервизоров.
Ниже будет ссылка на видео с канала Techno Tim, который я регулярно смотрю. Я уже упоминал о нём ранее и предлагал подписаться. Если ещё не сделали, то есть возможность исправить. Мне нравится этот парень и его подача. Заодно практика в английском. У него хорошая и понятная речь. Мне кажется, английский не его родной язык, поэтому его легко понять. Чётко говорит и не проглатывает звуки.
В своём видео он на конкретном примере показывает, как эта тема работает b как настроить подобный образ на основе Ubuntu. Вы можете взять как готовый образ, так и подготовить свой.
Видео: https://www.youtube.com/watch?v=shiIi38cJe4
Документация: https://pve.proxmox.com/wiki/Cloud-Init_Support
#proxmox #video
▪ системные пользователи
▪ сетевые настройки
▪ hostname
▪ ssh ключи
Эта технология актуальна для больших облачных сред. Упрощает и ускоряет запуск преднастроенных виртуальных машин. Конкретно в Proxmox я вижу удобство для использования в тестовых лабах, где постоянно создаются и удаляются новые виртуальные машины. Лично я всё тестирую на паре своих тестовых гипервизоров.
Ниже будет ссылка на видео с канала Techno Tim, который я регулярно смотрю. Я уже упоминал о нём ранее и предлагал подписаться. Если ещё не сделали, то есть возможность исправить. Мне нравится этот парень и его подача. Заодно практика в английском. У него хорошая и понятная речь. Мне кажется, английский не его родной язык, поэтому его легко понять. Чётко говорит и не проглатывает звуки.
В своём видео он на конкретном примере показывает, как эта тема работает b как настроить подобный образ на основе Ubuntu. Вы можете взять как готовый образ, так и подготовить свой.
Видео: https://www.youtube.com/watch?v=shiIi38cJe4
Документация: https://pve.proxmox.com/wiki/Cloud-Init_Support
#proxmox #video
Один из читателей посоветовал обратить внимание на любопытный проект, который позволяет организовать централизованную аутентификацию и авторизацию на сетевые устройства. Речь идёт о TacacsGUI. Я ранее о нём не слышал, но идея показалась интересной. Решил разобраться, что это такое и как работает. Сразу скажу о самом главном - поддержки Mikrotik нет 😪
И так, TacacsGUI поддерживает устройства следующих вендоров:
- Cisco
- Huawei
- Extreme Networks
- Juniper
- H3C
- Brocade
Вы заводите устройство в систему. Настраиваете на нём авторизацию и аутентификацию через Tacacs. А дальше в GUI через браузер управляете группами доступа, политиками, юзерами и т.д. У вас будут все логи доступа, отчёты подключениям, api для интеграции.
Продукт чётко заточен под сетевые устройства. Я немного посмотрел как он устанавливается и настраивается. Ничего особо сложного нет, так что это может быть актуально даже для небольшого количества устройств и одного, двух админов. В разделе с загрузкой можно скачать готовый образ системы, где собрано всё необходимое для работы. Достаточно только запустить установщик и по месту выполнить установку со своими параметрами.
TacacsGUI бесплатен, открыты исходники. Автор некто Aleksey Mochalin, как я понял, русскоязычный человек. Компания зарабатывает на платной установке, настройке, техподдержке. А так же на версии с HA (High Availability).
Нашёл много информации на тему использования TacacsGUI в тестовых лабах на базе GNS3, EVE-NG или PNETLab. Я так понимаю, что он упрощает работу с большими тестовыми сетями.
Demo - https://demo.tacacsgui.com:4443/dashboard
Сайт - https://tacacsgui.com/
Исходники - https://github.com/tacacsgui/tacacsgui
Документация - https://old.tacgui.com/documentation/
Ссылка на старый сайт, там документация полная, хоть и устаревшая. На новом сайте многих разделов документации просто нет и не совсем понятно, как заводить устройства в систему. В старой доке это есть.
#network #управление
И так, TacacsGUI поддерживает устройства следующих вендоров:
- Cisco
- Huawei
- Extreme Networks
- Juniper
- H3C
- Brocade
Вы заводите устройство в систему. Настраиваете на нём авторизацию и аутентификацию через Tacacs. А дальше в GUI через браузер управляете группами доступа, политиками, юзерами и т.д. У вас будут все логи доступа, отчёты подключениям, api для интеграции.
Продукт чётко заточен под сетевые устройства. Я немного посмотрел как он устанавливается и настраивается. Ничего особо сложного нет, так что это может быть актуально даже для небольшого количества устройств и одного, двух админов. В разделе с загрузкой можно скачать готовый образ системы, где собрано всё необходимое для работы. Достаточно только запустить установщик и по месту выполнить установку со своими параметрами.
TacacsGUI бесплатен, открыты исходники. Автор некто Aleksey Mochalin, как я понял, русскоязычный человек. Компания зарабатывает на платной установке, настройке, техподдержке. А так же на версии с HA (High Availability).
Нашёл много информации на тему использования TacacsGUI в тестовых лабах на базе GNS3, EVE-NG или PNETLab. Я так понимаю, что он упрощает работу с большими тестовыми сетями.
Demo - https://demo.tacacsgui.com:4443/dashboard
Сайт - https://tacacsgui.com/
Исходники - https://github.com/tacacsgui/tacacsgui
Документация - https://old.tacgui.com/documentation/
Ссылка на старый сайт, там документация полная, хоть и устаревшая. На новом сайте многих разделов документации просто нет и не совсем понятно, как заводить устройства в систему. В старой доке это есть.
#network #управление
