🌐 Skill: MTU и MSS — почему туннели режут скорость? ✂️
Типичная проблема: поднял VPN (WireGuard/OpenVPN), пинги идут, мелкие сайты открываются, а тяжелые файлы или админки — виснут.
Это классический MTU Mismatch.
Пакет вместе с заголовком туннеля становится больше 1500 байт и отбрасывается (или фрагментируется, что тормозит сеть).
В 2026 году мы решаем это через MSS Clamping.
Мы заставляем сервер и клиент сразу договариваться о меньшем размере полезной нагрузки.
Команда для IPTables (на шлюзе):
#networking #mtu #vpn #tcp #sysadmin #troubleshooting #devops
Типичная проблема: поднял VPN (WireGuard/OpenVPN), пинги идут, мелкие сайты открываются, а тяжелые файлы или админки — виснут.
Это классический MTU Mismatch.
Пакет вместе с заголовком туннеля становится больше 1500 байт и отбрасывается (или фрагментируется, что тормозит сеть).
В 2026 году мы решаем это через MSS Clamping.
Мы заставляем сервер и клиент сразу договариваться о меньшем размере полезной нагрузки.
Команда для IPTables (на шлюзе):
# Автоматически подрезаем размер MSS под размер туннеля
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Итог: Пакеты перестают «биться» о невидимые стены провайдеров, и скорость в туннеле становится максимально возможной.
#networking #mtu #vpn #tcp #sysadmin #troubleshooting #devops
🐧 Linux: Оптимизируем Swap с помощью vm.swappiness и vfs_cache_pressure 🧠
Многие админы до сих пор спорят: выключать Swap или нет?
В 2026 году ответ — нет, но его нужно настроить.
Если оставить дефолтные значения, ядро может начать вымывать полезный кэш приложений в Swap слишком рано, вызывая «фризы».
Параметры, которые меняют всё:
vm.swappiness: определяет, насколько активно ядро скидывает данные в Swap.
Для серверов с базами данных лучше ставить 10 (вместо дефолтных 60).
vm.vfs_cache_pressure: контролирует, как долго ядро хранит кэш файловой системы (inodes/dentry).
Если памяти мало, а файлов много, поставь 50 вместо 100.
Как применить без перезагрузки:
Результат: Сервер станет заметно отзывчивее при операциях с диском и перестанет «тупить» при заполнении RAM.
#linux #performance #sysadmin #kernel #optimization #swap #devops
Многие админы до сих пор спорят: выключать Swap или нет?
В 2026 году ответ — нет, но его нужно настроить.
Если оставить дефолтные значения, ядро может начать вымывать полезный кэш приложений в Swap слишком рано, вызывая «фризы».
Параметры, которые меняют всё:
vm.swappiness: определяет, насколько активно ядро скидывает данные в Swap.
Для серверов с базами данных лучше ставить 10 (вместо дефолтных 60).
vm.vfs_cache_pressure: контролирует, как долго ядро хранит кэш файловой системы (inodes/dentry).
Если памяти мало, а файлов много, поставь 50 вместо 100.
Как применить без перезагрузки:
sudo sysctl -w vm.swappiness=10
sudo sysctl -w vm.vfs_cache_pressure=50
# Чтобы сохранить после ребута, добавь в /etc/sysctl.conf
Результат: Сервер станет заметно отзывчивее при операциях с диском и перестанет «тупить» при заполнении RAM.
#linux #performance #sysadmin #kernel #optimization #swap #devops
🐧 Linux: systemd-analyze security — узнай, насколько дырявые твои сервисы 🛡️
Ты поднял Nginx, базу данных и пару самописных демонов.
Они работают.
Но насколько они защищены от взлома, если в коде найдется уязвимость?
В 2026 году systemd имеет встроенный сканер безопасности, о котором многие забывают.
Он анализирует unit-файлы и выставляет оценку "опасности" от 0 (безопасно) до 10 (проходной двор).
Команда-аудитор:
Как исправить "красные" зоны:
Выбери сервис с плохой оценкой (например, nginx.service) и посмотри детали:
Добавь в секцию [Service] файла юнита простые директивы изоляции:
Результат: Даже если сервис взломают, хакер окажется в "тюрьме" и не сможет навредить системе. Оценка упадет с 9.0 до 2.0. ✅
#linux #security #systemd #hardening #sysadmin #devops #audit
Ты поднял Nginx, базу данных и пару самописных демонов.
Они работают.
Но насколько они защищены от взлома, если в коде найдется уязвимость?
В 2026 году systemd имеет встроенный сканер безопасности, о котором многие забывают.
Он анализирует unit-файлы и выставляет оценку "опасности" от 0 (безопасно) до 10 (проходной двор).
Команда-аудитор:
systemd-analyze security
Как исправить "красные" зоны:
Выбери сервис с плохой оценкой (например, nginx.service) и посмотри детали:
systemd-analyze security nginx.service
Добавь в секцию [Service] файла юнита простые директивы изоляции:
[Service]
PrivateTmp=yes # Свой /tmp, невидимый другим
ProtectSystem=strict # Запрет записи в системные папки
ProtectHome=yes # Запрет чтения /home
NoNewPrivileges=yes # Запрет повышения прав (sudo)
Результат: Даже если сервис взломают, хакер окажется в "тюрьме" и не сможет навредить системе. Оценка упадет с 9.0 до 2.0. ✅
#linux #security #systemd #hardening #sysadmin #devops #audit
🐧 Linux: Поднимаем локальное зеркало репозиториев, чтобы не зависеть от аплинка 📦
Когда kernel.org или зеркала Debian/Ubuntu становятся недоступны из-за ТСПУ, твоя инфраструктура рискует остаться без патчей безопасности. Решение для 2026 года — свой локальный кэширующий прокси или полноценное зеркало.
Как быстро настроить кэширующий сервер:
Результат: Пакет скачивается из интернета только один раз первым сервером, остальные забирают его из локалки на скорости 10 Гбит/с. Даже если внешний канал упадет, ты сможешь переустанавливать софт на новых машинах.
#linux #apt #mirror #sysadmin #devops #infrastructure #offline #admin_future
Когда kernel.org или зеркала Debian/Ubuntu становятся недоступны из-за ТСПУ, твоя инфраструктура рискует остаться без патчей безопасности. Решение для 2026 года — свой локальный кэширующий прокси или полноценное зеркало.
Инструмент: apt-cacher-ng (легкий) или debmirror (полная копия).
Как быстро настроить кэширующий сервер:
Установи: sudo apt install apt-cacher-ng
Теперь на всех остальных серверах в сети создай файл /etc/apt/apt.conf.d/00proxy:
Acquire::http::Proxy "http://IP_ТВОЕГО_СЕРВЕРА:3142";
Результат: Пакет скачивается из интернета только один раз первым сервером, остальные забирают его из локалки на скорости 10 Гбит/с. Даже если внешний канал упадет, ты сможешь переустанавливать софт на новых машинах.
#linux #apt #mirror #sysadmin #devops #infrastructure #offline #admin_future
🚀 DevOps: Очистка старых Docker-образов по расписанию 🧹
Если твой сервер внезапно перестал отвечать, проверь место на диске. Часто причиной становятся гигабайты «висячих» (dangling) слоев и старых образов Docker, которые копятся после каждого деплоя. В 2026-м ручная чистка — это моветон.
Техническое решение:
Команда для тотальной, но безопасной чистки:
Фильтр until=168h удалит только те образы, которые старше недели, оставив свежие билды для быстрого отката (rollback).
#docker #devops #optimization #linux #cleanup #sysadmin #automation #admin_future
Если твой сервер внезапно перестал отвечать, проверь место на диске. Часто причиной становятся гигабайты «висячих» (dangling) слоев и старых образов Docker, которые копятся после каждого деплоя. В 2026-м ручная чистка — это моветон.
Техническое решение:
Используем встроенную систему очистки Docker с фильтрами, чтобы не снести лишнее.
Команда для тотальной, но безопасной чистки:
# Удалить все неиспользуемые контейнеры, сети и образы (dangling)
docker system prune -f
# Удалить вообще все образы, которые не используются ни одним запущенным контейнером
docker image prune -a --force --filter "until=168h"
Фильтр until=168h удалит только те образы, которые старше недели, оставив свежие билды для быстрого отката (rollback).
#docker #devops #optimization #linux #cleanup #sysadmin #automation #admin_future
🧠 Skill: Документация для «себя из будущего» (и почему Word — это зло) 📝
Давайте честно: админы ненавидят писать документацию. Обычно это вордовский файл `.docx`, щедро усыпанный скриншотами, который устаревает на следующий день после создания.
Но если ты ведешь несколько проектов, отсутствие нормальной документации — это гарантированное выгорание. Главный скилл сеньора — писать доки так, чтобы через год, разбуженный в 3 ночи, ты сам понял, что там наворотил.
3 правила нормальной IT-документации в 2026 году:
Твоя главная целевая аудитория для документации — это не новый сотрудник. Это ты сам, но уставший, злой и после 6 месяцев работы над другими задачами. Сделай себе одолжение.
#skills #documentation #sysadmin #mindset #devops #markdown #admin_future
Давайте честно: админы ненавидят писать документацию. Обычно это вордовский файл `.docx`, щедро усыпанный скриншотами, который устаревает на следующий день после создания.
Но если ты ведешь несколько проектов, отсутствие нормальной документации — это гарантированное выгорание. Главный скилл сеньора — писать доки так, чтобы через год, разбуженный в 3 ночи, ты сам понял, что там наворотил.
3 правила нормальной IT-документации в 2026 году:
1. Никакого Word. Документация должна быть в Markdown (`.md`). Это текст, который легко искать, он весит килобайты, его можно хранить в Git вместе с конфигами.
2. Пиши «ПОЧЕМУ», а не только «КАК». Команду для поднятия туннеля ты нагуглишь за минуту. А вот *почему* ты пробросил именно порт 8443 и зачем отключил проверку сертификатов для этого конкретного шлюза — ты забудешь уже в пятницу. Фиксируй логику решений.
3. Docs as Code (Документация как код). Идеально — развернуть легковесную wiki (например, BookStack или Outline) и приучить себя: закрыл сложный тикет ➔ набросал заметку на 5 строчек с куском конфига.
Твоя главная целевая аудитория для документации — это не новый сотрудник. Это ты сам, но уставший, злой и после 6 месяцев работы над другими задачами. Сделай себе одолжение.
#skills #documentation #sysadmin #mindset #devops #markdown #admin_future
👍4
🎓 Собеседование сисадмина. Выпуск #2: Контейнеры и сетевой хардкор
Привет, коллеги! Продолжаем серию постов для тех, кто хочет уверенно чувствовать себя на техническом интервью. Сегодня разберем три каверзных вопроса, которые обожают задавать на позиции Middle/Senior System Engineer.
❓ Вопрос 1: «В чем разница между CMD и ENTRYPOINT в Dockerfile?»
❌ Ответ новичка: «И то, и другое запускает команду при старте контейнера».
✅ Ответ инженера: * ENTRYPOINT — это основная команда, которая превращает контейнер в исполняемый файл. Её сложно переопределить при запуске (`docker run`).
❓ Вопрос 2: «Что такое Docker-слои и почему размер образа имеет значение?»
❌ Ответ новичка: «Слои — это шаги в Dockerfile. Чем меньше образ, тем быстрее он качается».
✅ Ответ инженера:
❓ Вопрос 3: «Клиент жалуется: "Сайт не открывается". Вы пингуете сервер — пинг идет. В чем может быть проблема?»
❌ Ответ новичка: «Наверное, упал веб-сервер, надо перезагрузить».
✅ Ответ инженера: Пинг (ICMP) подтверждает только то, что сетевой уровень (L3) и узел живы.
💡 Золотое правило собеса:Когда вас спрашивают про траблшутинг, всегда идите по модели OSI снизу вверх. От физики и линков до прикладного уровня. Это демонстрирует системный подход, а не хаотичное "тыканье" в конфиги.
Сохраняйте, запоминайте и не давайте застать себя врасплох!
#собеседование_AF #docker #devops #networking #osi #sysadmin #admin_future
Привет, коллеги! Продолжаем серию постов для тех, кто хочет уверенно чувствовать себя на техническом интервью. Сегодня разберем три каверзных вопроса, которые обожают задавать на позиции Middle/Senior System Engineer.
❓ Вопрос 1: «В чем разница между CMD и ENTRYPOINT в Dockerfile?»
❌ Ответ новичка: «И то, и другое запускает команду при старте контейнера».
✅ Ответ инженера: * ENTRYPOINT — это основная команда, которая превращает контейнер в исполняемый файл. Её сложно переопределить при запуске (`docker run`).
* CMD — это аргументы по умолчанию для ENTRYPOINT. Если вы укажете свои аргументы в конце `docker run`, они полностью заменят то, что написано в CMD.
* Pro-tip: На собеседовании скажите, что лучшая практика — использовать их вместе. Например: `ENTRYPOINT ["/usr/bin/nginx"]` и `CMD ["-g", "daemon off;"]`. Это позволяет гибко менять параметры запуска, не ломая логику образа.
❓ Вопрос 2: «Что такое Docker-слои и почему размер образа имеет значение?»
❌ Ответ новичка: «Слои — это шаги в Dockerfile. Чем меньше образ, тем быстрее он качается».
✅ Ответ инженера:
1. Каждая инструкция (`RUN`, `COPY`, `ADD`) создает новый слой, который кешируется и занимает место.
2. Copy-on-Write: Если файл меняется в верхнем слое, он копируется из нижнего, что раздувает образ.
3. Безопасность и скорость: Маленький образ (на базе Alpine или Distroless) уменьшает "поверхность атаки" (меньше лишних утилит — меньше дыр) и ускоряет деплой в CI/CD.
Совет: Упомяните Multi-stage builds. Это сразу покажет, что вы умеете собирать оптимизированные образы, оставляя весь "мусор" (компиляторы, исходники) во временных контейнерах.
❓ Вопрос 3: «Клиент жалуется: "Сайт не открывается". Вы пингуете сервер — пинг идет. В чем может быть проблема?»
❌ Ответ новичка: «Наверное, упал веб-сервер, надо перезагрузить».
✅ Ответ инженера: Пинг (ICMP) подтверждает только то, что сетевой уровень (L3) и узел живы.
1. Порты (L4): Проверяем, слушает ли веб-сервер нужный порт (80/443) через `telnet` или `nc -zv`.
2. MTU: Если маленькие пакеты (пинг) проходят, а большие (HTTP-трафик) — нет, проблема в MTU/MSS на пути следования. Пакеты просто дропаются без фрагментации.
3. Firewall: Возможно, ICMP разрешен, а TCP/443 закрыт на внешнем или внутреннем (iptables/nftables) фаерволе.
4. SSL/TLS: Проверяем, не истек ли сертификат. Браузер может блокировать соединение, хотя сервер работает.
💡 Золотое правило собеса:
Сохраняйте, запоминайте и не давайте застать себя врасплох!
#собеседование_AF #docker #devops #networking #osi #sysadmin #admin_future
👍3
🧠 Skill: «Git-гигиена» — пиши коммиты для людей, а не для галочки
В 2026 году даже «чистый» админ живет в парадигме **Infrastructure as Code (IaC)**. Твои конфиги Ansible, Terraform или просто Bash-скрипты лежат в Git. Но есть проблема: коммиты типа `fixed bug`, `update` или `.....` — это мусор. Через полгода ты сам не поймешь, что там изменилось.
Как делать правильно:
Пример идеального коммита:
Хорошая история коммитов — это лучшая документация твоей работы.
#skills #git #iac #devops #bestpractices #sysadmin #admin_future
В 2026 году даже «чистый» админ живет в парадигме **Infrastructure as Code (IaC)**. Твои конфиги Ansible, Terraform или просто Bash-скрипты лежат в Git. Но есть проблема: коммиты типа `fixed bug`, `update` или `.....` — это мусор. Через полгода ты сам не поймешь, что там изменилось.
Как делать правильно:
1. Заголовок до 50 символов: Краткая суть (что изменилось).
2. Пустая строка после заголовка: Это стандарт Git для корректного отображения в логах.
3. Тело коммита: Опиши ПОЧЕМУ ты это сделал. Какой баг пофиксил или какой тикет в Jira закрыл.
Пример идеального коммита:
feat(network): переход на nftables для SSH-фильтрации
- Удалены старые правила iptables из конфига
- Внедрены динамические сеты для защиты от брутфорса
- Исправлена проблема с ложными срабатываниями на IP офиса (тикет #402)
Хорошая история коммитов — это лучшая документация твоей работы.
#skills #git #iac #devops #bestpractices #sysadmin #admin_future
📦 S3 vs FTP: Почему пора перестать гонять файлы по старинке
Многие по привычке воспринимают S3 (Object Storage) как просто «бесконечную флешку в интернете». Но если копнуть глубже, разница между ним и обычным файловым сервером (FTP/SFTP/NFS) огромна.
1. Иерархия против Плоской структуры
2. Протоколы и Доступ
3. Масштабируемость и Отказоустойчивость
4. Метаданные
🛠 Инструмент админа: rclone
Если тебе нужно перекинуть данные с древнего FTP в современное S3-хранилище, не мучайся со скриптами. Используй rclone — это «швейцарский нож» для облаков.
Команда для синхронизации:
Когда НЕ нужен S3?
Если твоей программе нужно постоянно открывать файл, менять в нем одну строчку и сохранять (например, база данных SQLite или редактирование кода «на лету») — S3 не подойдет. Он работает по принципу «перезапиши объект целиком».
#storage #s3 #ftp #cloud #devops #sysadmin #rclone #admin_future
Многие по привычке воспринимают S3 (Object Storage) как просто «бесконечную флешку в интернете». Но если копнуть глубже, разница между ним и обычным файловым сервером (FTP/SFTP/NFS) огромна.
1. Иерархия против Плоской структуры
FTP (File Storage): Это дерево. Папки, подпапки, файлы. Если у тебя миллион файлов в одной директории, команда ls или попытка открыть её через клиент заставит сервер «призадуматься» на пару минут.
S3 (Object Storage): Здесь нет папок. Вообще. Есть только Bucket (корзина) и Key (ключ/путь). То, что ты видишь как /uploads/2026/march/photo.jpg — это просто длинное имя одного объекта. Это позволяет S3 находить любой файл среди миллиардов других за фиксированное время.
2. Протоколы и Доступ
FTP: Это отдельный протокол, порты 21 (или 22 для SFTP), проблемы с пассивным режимом и фаерволами.
S3: Это HTTP/HTTPS. Твой файл — это URL. Доступ к нему осуществляется через стандартные REST API запросы (GET, PUT, DELETE). Это делает S3 идеальным для веба: браузеры и мобильные приложения общаются с ним «на одном языке».
3. Масштабируемость и Отказоустойчивость
FTP: Ты ограничен объемом диска на сервере. Кончилось место? Покупай новый диск, расширяй раздел, делай LVM. Упал сервер — файлы недоступны.
S3: Он практически бездонен. Тебе не нужно думать о месте. Более того, облачные провайдеры (AWS, Selectel, Yandex Cloud) реплицируют твои данные между разными дата-центрами. Вероятность потери данных в S3 стремится к нулю.
4. Метаданные
FTP: У файла есть размер и дата изменения. Всё.
S3: Ты можешь прицепить к объекту любые метаданные: Content-Type, Author, Project-ID или даже свои кастомные теги. По этим тегам потом можно настраивать политики автоматического удаления или перемещения в «холодное» (дешевое) хранилище.
🛠 Инструмент админа: rclone
Если тебе нужно перекинуть данные с древнего FTP в современное S3-хранилище, не мучайся со скриптами. Используй rclone — это «швейцарский нож» для облаков.
Команда для синхронизации:
# Настраиваем конфиг через rclone config, а затем:
rclone sync my_ftp:/var/www/uploads my_s3_bucket:backup-2026 -P
Когда НЕ нужен S3?
#storage #s3 #ftp #cloud #devops #sysadmin #rclone #admin_future
🔥1🤔1💯1
🪟 Windows: WinGet Configuration — настраиваем рабочее место через YAML 📝
В 2026 году ручная установка софта в Windows — это моветон. Microsoft активно развивает WinGet Configuration (на базе Desired State Configuration — DSC). Теперь ты можешь описать всё состояние системы в одном YAML-файле и применить его на новом сервере или ноутбуке сотрудника.
Пример конфигурационного файла (config.yaml):
Команда для применения:
Зачем это нужно: Это «Terraform для локальной Windows».
Один файл — и через 5 минут у тебя настроенная машина со всеми админскими утилитами.
#windows #automation #winget #dsc #devops #sysadmin #admin_future
В 2026 году ручная установка софта в Windows — это моветон. Microsoft активно развивает WinGet Configuration (на базе Desired State Configuration — DSC). Теперь ты можешь описать всё состояние системы в одном YAML-файле и применить его на новом сервере или ноутбуке сотрудника.
Техническая суть:
Ты описываешь не только список программ, но и настройки системы, реестра и функций Windows.
Пример конфигурационного файла (config.yaml):
# yaml-language-server: $schema=https://aka.ms/configuration-dsc-schema/0.2
properties:
resources:
- resource: Microsoft.WinGet.DSC/WinGetPackage
directives:
description: Install VS Code
settings:
id: Microsoft.VisualStudioCode
source: winget
- resource: Microsoft.Windows.Developer/DeveloperMode
settings:
Enabled: true
configurationVersion: 0.2
Команда для применения:
# Проверить файл и применить настройки
winget configure config.yaml
Зачем это нужно: Это «Terraform для локальной Windows».
Один файл — и через 5 минут у тебя настроенная машина со всеми админскими утилитами.
#windows #automation #winget #dsc #devops #sysadmin #admin_future
🔥3