ServerAdmin.ru

Я зимой купил себе новый компьютер для работы. До этого основной рабочей машиной был ноутбук. Перенастраивать систему заново не хотелось, поэтому я перенёс её целиком с помощью Veeam Agent for Windows. Он нормально перенёс, система сразу завелась без лишних телодвижений. Даже 1С переактивировалась сама, без ввода нового пин-кода. Ноутбук отложил в сторонку, потому что в основном стал работать дома. Несколько месяцев вообще его не запускал. Как-то раз уехал с ноутбуком и поработал удалённо. Очень удобно, что системы идентичные, а все основные данные (пароли, подключения, документы) синхронизируются через Яндекс.Диск. С этой стороны, кстати, проблем вообще не возникло, хотя я ожидал. Понадобилось подключиться в домашнему компьютеру. У меня через VPN организована прямая сетевая связность. Но по RDP подключение не идёт. Пишет, что логин или пароль неверны. Перепроверил всё по 10 раз - не подключается. Пробую с другой машины - всё нормально. Смотрю логи, там чётко написано, что логин и пароль при подключении с ноута неверны. Тогда не было времени разбираться, не понял в чём дело, отложил решение, так и не подключившись. Дома потом в спокойной обстановке попробовал ещё раз. Опять не получается, хотя нахожусь в одной локалке. Предположил, что из другой сети не мог подключиться из-за каких-то возможных настроек безопасности, которые появились в какой-то момент, но нет. Наверняка вы уже догадались, в чём дело. Я потом тоже уже сам сообразил, что причина скорее всего в том, что на компьютере клон системы. Соответственно, у обеих систем одинаковый SID, именно по этой причине соединение невозможно. Я сразу не догадался, потому что по времени эти два события сильно разнесены оказались. Клонировал систему зимой, а заметил проблему только летом. О том, что не надо клонировать системы Windows, я знал всегда. Оно работать будет, но потом могут всплыть какие-то неявные проблемы, типа этой. Где-то клон прокатит, а где-то - нет. Лучше не рисковать лишний раз. На работе никогда не делал полных клонов, а использовал другие методы создания однотипных систем. У Microsoft всегда были инструменты для этого. Сейчас их без проблем подскажет ИИ и напишет инструкцию. Теоретически, у моей проблемы есть решения, но я их не пробовал, так как это сопряжено с некоторыми неудобствами в виде слетевших аутентификаций, сохранённых паролей или активации системы. Мне некритичны подключения по RDP, поэтому ничего делать не буду. Система со временем всё равно будет переустановлена. Рассказал об этом, чтобы предупредить тех, кто будет клонировать системы, что есть подводные камни. Лучше этого не делать, если у вас на данной процедуре будет выстроен рабочий процесс, а не разовая операция, типа моей. Я в своё время, когда этим занимался, создавал эталонный образ и использовал sysprep. Есть и другие способы. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #windows #совет

Человек 13 лет строил домашнюю инфру и в итоге получил геораспределённый Kubernetes-кластер на несколько квартир и дата-центров. 8 июля он расскажет, как это вышло, на юбилейном пятом митапе Deckhouse User Community в Москве. В расписании: — ИИ-агент, который управляет кластером (и однажды выключил продакшен) — Питч о веб-интерфейсе Deckhouse Kubernetes Platform — Как устроена новая система признания контрибьюторов: что получают те, кто помогает сообществу — Круглые столы про сети, виртуализация, безопасность, AI в инфре и нетворкинг. Митап офлайн, количество мест ограниченно, регистрируйтесь!

Подписчик поделился информацией про один интересный проект, который следит за обновлениями в операционных системах. Я сначала мельком глянул, увидел, что он использует отдельный агент на системе для отслеживания пакетов и решил, что это перебор для такой простой задачи. Это можно и без агентов делать, например, через Ansible. Но недавно опять вернулся к этому проекту и всё же попробовал его. Речь пойдёт про PatchMon. Сразу скажу, что он мне очень понравился. Решил его для теста оставить в своей локальной сети и попользоваться какое-то время. Он продаётся как сервис, и при этом есть self-hosted версия без каких-либо ограничений на использование. Разворачиваешь локально у себя и пользуешься. PatchMon представляет из себя веб панель, куда можно добавлять хосты, чтобы следить за их обновлениями. Поддерживаются как Linux системы, так и Windows. При этом процесс организован очень удобно и максимально просто. Рассказываю на пальцах, как выглядит работа с ним: 1️⃣ Запускаем PatchMon через docker compose. 2️⃣ Добавляем туда хост. Для этого достаточно в веб интерфейсе получить код со ссылкой для установки и выполнить его на нужном сервере. Он автоматом скачает всё, что надо с сервера PatchMon, зарегистрируется на нём и запустит агента как службу в systemd. 3️⃣ Агент проверит пакеты и обновления к ним и отправит отчёт на сервер. 4️⃣ На сервере виден статус по обновлениям для всех хостов. Можно посмотреть, какие пакеты и где требуют обновления. 5️⃣ Обновление может происходить как в ручном режиме, так и автоматически по расписанию через заранее созданные задания. 6️⃣ Ручное обновление может быть выполнено через интерфейс PatchMon непосредственно службой агента, а можно тут же подключиться к хосту по SSH или RDP и руками запустить обновление. Я всё это потестировал, показалось удобным. Плюс, панель сама по себе симпатично и информативно выглядит. Хотя интерфейс на любителя, много разных цветов. Ставить или нет отдельно такую систему в свою рабочую инфраструктуру - вопрос неоднозначный. Она закрывает одну небольшую задачу, но при этом хочет отдельного агента для этого. Это ещё одна точка компрометации всей инфраструктуры, в случае чего. А на серверах и так скорее всего уже стоят агенты мониторинга, сбора логов, а возможно и агенты какой-нибудь SIEM системы, типа Wazuh. Он тоже частично закрывает эту задачу. На базе этих систем этот вопрос реально закрыть, но, возможно, не так удобно. Придётся покостылить. Например, через Zabbix я этот вопрос закрываю с помощью Lynis. Получается не так удобно и гибко, потому что вижу только список обновлений безопасности для пакетов и необходимость перезагрузки, но зачастую этого достаточно. Так что использовать или нет PatchMon - решать вам по месту. Пока писал, вспомнил, что некоторые системы удалённого доступа, типа MeshCentral, тоже частично решают эту задачу. Сам PatchMon, кстати, тоже можно считать такой системой, потому что там встроен Apache Guacamole как раз для возможности удалённого подключения к узлу. В общем, продукт довольно зрелый, целостный, легко устанавливается и настраивается, так что с внедрением проблем не будет. Свою задачу решает неплохо, я бы даже сказал - хорошо. Много настроек на тему раскатки обновлений - последовательное, разбитое по группам, только ручное, по расписанию, или по расписанию, но с подтверждением. Всё это логируется, шлются уведомления, отчёты и т.д. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #мониторинг

Слышал краем уха новости о том, что протухают какие-то сертификаты Microsoft, которые используются в Secure Boot в UEFI. Так как у меня нет систем, где прям обязательно должна быть включена безопасная загрузка, то пропускал мимо ушей. Даже если где-то она и включена, то смогу отключить на время для решения проблем, если они возникнут. На днях на практике увидел, о чём тут речь. Одна виртуальная машина с Windows при запуске в Proxmox выдала предупреждение: The UEFI 2011 certificates expire in June 2026! The new certificates are required for secure boot update for Windows and common Linux distributions. В июне протухают старые сертификаты. Благо, проблема эта небольшая и легко решается. Конкретно в Proxmox достаточно выбрать EFI диск, потом Disk Action ⇨ Enroll Updated Certificates. Ну и всё. Сертификат автоматически обновится. Ещё проще сделать это через консоль: # qm enroll-efi-keys VM_ID Если у вас по какой-то причине нет возможности обновить сертификат, то временно решить проблему загрузки такой системы можно, отключив Secure Boot. Отдельное внимание этому вопросу стоит уделить, если вы используете шифрование через BitLocker. Насколько я понял, протухшие сертификаты он будет воспринимать, как компрометацию системы, поэтому для доступа к зашифрованным файлам потребуется ключ восстановления. Для некоторых это может стать неприятным сюрпризом, особенно если про включённое шифрование они не в курсе. Начиная с какой-то версии Windows 11, при наличие TPM и SecureBoot, автоматически включается BitLocker для всех дисков. Помню, как сам с этим столкнулся на ноуте и отключил. Проверить состояние шифрования можно командой в powershell: > Get-BitLockerVolume Будьте аккуратны с этой темой и заранее всё проверьте. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #windows

🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день» Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы. Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде. За один день вы: ✅ подключите источники событий и настроите обработку логов; ✅ разберётесь в работе аналитики и механизмах выявления угроз; ✅ познакомитесь с процессом обработки инцидентов на практике; ✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности. 📅 15 июля, 11:00 (МСК) 💻 Онлайн Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день. Реклама, ООО "ИНФРАТЕХ", ИНН 5024197250.

Расскажу кратко, как я работаю с AI. Не нужно воспринимать это как инструкцию и повторять слепо за мной. Я особо не разбирался с этой темой, не тестировал, где лучше, дешевле, удобнее. Использую набор продуктов и сервисов, которые меня устраивают и решают поставленные задачи. Всё это сейчас невозможно купить напрямую, поэтому делюсь информацией, чтобы вам не пришлось тратить время, чтобы попробовать то же самое. Я использую китайский сервис z.ai и его модели GLM-4.7 и GLM-5.2. Вторая подороже по расходу токенов, но на своих задачах я не особо вижу разницу. Если токенов много, ставлю 5.2, если мало остаётся, использую 4.7. Мне хватает самого начального тарифа за $18. Напрямую с российских карт оплатить не получится. Я использую посредников на plati.market. Ссылка на продавца, где я оплачивал последние 3 месяца. Сначала купил оплаченный аккаунт, а потом его же продлевал. После оплаты приходится в чат отправлять логин и пароль от учётки. Сейчас, кстати, почему то стоимость ниже, чем была всего пару недель назад. Я плачу USDT. У меня есть некоторая сумма, которую непонятно как и куда выводить. Мне очень удобно тратить именно их на подписку. В качестве агента использую opencode. Он нативно интегрируется с z.ai. Достаточно в сервисе создать ключ для доступа по API и указать его в opencode. Мне нравится этот агент за простоту и функциональность. Чтобы начать работать, не нужна какая-то особенная настройка. Можно просто установить и пользоваться. Будет нормальный результат сразу. Потом уже можно что-то донастроить по своим потребностям. У меня отдельная виртуалка с opencode, там директории с проектами, оттуда они пушатся во внешний git репозиторий. Какие задачи решаю с помощью агента? Довольно простые, прикладные, которые упрощают повседневную рутину. В основном это плейбуки ансибла. Приведу конкретные примеры: ▪️Набор плейбуков для базовой настройки систем с различными ролями + обвязка вокруг них на bash скриптах для некоторого удобства. ▪️Плейбук для быстрой установки и интеграции в мою инфраструктуру новой VPS со всем, что надо для обхода деградации, замедления и блокировки. ▪️Мониторинг температуры некоторого железа с помощью Zabbix. ▪️Быстрое автоматическое добавление узлов с различными системами в мониторинг и сбор логов. Ну и так далее. То есть ничего особенного, чего бы я не смог сделать сам, но агент это делает намного быстрее. Сначала он что-то разработает. Я ему даю доступ к тестовым виртуалкам. Он там сам всё проверяет и отлаживает, пишет инструкцию по использованию. А потом уже я иду, проверяю и в дальнейшем пользуюсь сам. То есть какие-то процессы полностью на автоматическое исполнение я агенту не отдаю. Это я привёл примеры по администрированию. Я и некоторые другие свои задачи с ним решал, но сразу скажу, что навайбкодить что-то прям хорошее, рабочее у меня не получилось. Это не такая простая задача, как кажется. До удовлетворительного результата, чтобы сделать, закрыть задачу и начать пользоваться, у меня не получилось довести. Пока всё в полурабочем состоянии. На это надо много времени. У меня свободного почти нет, поэтому занимаюсь в основном текучкой. Ещё отдельный спектр задач по поиску информации в интернете и консультированию. Агент хорошо ходит по ссылкам, что-то проверяет, анализирует, структурирует и выдаёт результат. Это разовые задачи без артефактов на выходе. По сути работает как поисковик и советник. Первое время я прям много всего делал, нужного и ненужного. Было интересно, ночами сидел, не мог оторваться. Завораживает, как агент сам делает осмысленную работу за тебя. Лимиты все тратил. А сейчас всё основное сделано, пользуюсь не так часто. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #ai

Не так давно переносил старую виртуалку с Asterisk на другой гипервизор. Конкретно с Hyper-V перекинул на Proxmox. Всё перенеслось корректно, но на новом месте не стартовал Asterisk. Просто падал при запуске с неинформативной ошибкой в системных логах. Оставлю примеры ошибок, чтобы обучить ИИ, или помочь тому, кто через поиск придёт: kernel: traps: asterisk[56183] trap invalid opcode ip:7fdba37acec6 sp:7ffd14936730 error:0 in codec_lpc10.so[7fdba37a8000+d000] kernel: traps: asterisk[19509] trap invalid opcode ip:5c6182 sp:7ffed7e3b100 error:0 in asterisk[400000+27e000] Я сразу узнал эту ошибку, потому что раньше много работал с Asterisk. Для интереса закинул её в ИИ, он много всего насоветовал, но простого решения не предложил. Содержание ошибки в каждом конкретном случае может быть разное в зависимости от того, кто будет виновник падения - основной процесс asterisk или один из его модулей. От этого будет плясать и ИИ - будет предлагать модули отключать, инструкции процессоров сравнивать и т.д. А смысл тут вот в чём. Asterisk чаще всего при установке собирают из исходников. Я не знаю почему, но так исторически сложилось. Бегло посмотрел в поиске актуальные инструкции - там по прежнему собирают из исходников. Так вот, при сборке по умолчанию компилятору добавляется флаг с оптимизацией под конкретный процессор, где она происходит. При переезде виртуалки на другой процессор с большой долей вероятности что-то не совпадёт по инструкциям или чем-то ещё и Asterisk не запустится. Когда я первый раз с этим столкнулся лет 10 назад, долго мучался, пока не понял, в чём тут дело. Чтобы решить эту проблему, надо пересобрать ещё раз этот же Asterisk из исходников, но на новом месте с новым процессором. И в меню, которое запускается перед компиляцией командой menuselect, выбрать пункт DONT_OPTIMIZE. Тогда этой проблемы не будет в будущем при новом переезде или репликации. ☝️ И ещё, мой вам совет. Если у вас нет опыта с voip, а вам падает задача на эту тему, особенно на своём сервере, лучше каким-то образом соскочите с неё. Это особая область знаний, где очень много нюансов и подводных камней. С наскока туда не заскочить, надо много времени тратить на изучение и погружение. Я в своё время занимался этим, изучал всё сам с нуля, но в итоге бросил. Очень много времени и нервов уходило на решение задач. Если ты постоянно не погружён в эту тему, то будет тяжело. Подобные вещи лучше отдавать на аутсорс специалистам, которые на этом специализируются. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #asterisk

Хороший хостинг обычно замечаешь не сразу. Зато плохой — очень быстро 😅 Когда сайт внезапно недоступен, поддержка отвечает шаблонами, а нужная услуга оказывается где-то в другом месте — становится понятно, насколько важен выбор провайдера. Если вы сейчас присматриваете хостинг для сайта, интернет-магазина, сервиса или собственного проекта, обратите внимание на ИХЦ. 🫡 У нас есть всё необходимое для старта и дальнейшего роста: ✅Виртуальный хостинг от 123 ₽/мес с тестом на 7 дней ✅VPS в России от 317 ₽/мес с тестом на 3 дня ✅VPS в Европе от 290 ₽/мес ✅Оплата в рублях и русскоязычная поддержка даже для европейских серверов ✅DDoS-защита на всех тарифах ✅Партнёрская программа с выплатами до 50% Подход простой: дать клиенту качественные услуги, адекватные цены и поддержку, которая действительно помогает решать вопросы. Если хотите сменить провайдера, мы окажем бесплатную помощь в переносе 🎁 👉 Посмотреть тарифы и попробовать ihc.ru Реклама, ООО "ИНТЕРНЕТ-ХОСТИНГ", ИНН 7701838266.

Некоторое время назад у Proxmox Datacenter Manager вышло обновление 1.1, которое принесло много полезных нововведений. Я устанавливал себе на тест самую первую версию, когда она только вышла, но как-то не прижилась, так как мало чего умела. С этой версии решил таки себе на постоянку поставить в отдельную виртуалку и пользоваться. Думаю, продукт будет и дальше развиваться вместе со всей экосистемой, так что стоит пользоваться и привыкать понемногу, а от остальных поделок на эту же тему стоит отказаться в пользу PDM. Некоторые хоть и выглядят симпатичнее и местами удобнее (Pulse), но по функциональности скорее всего будут отставать. В PDM уже сейчас есть почти всё, что необходимо. В этом обновлении добавили: ◽️Автоматическую установку всех продуктов Proxmox (только их) с помощью подготовленных заранее файлов ответов с настройками. Из описания подумал, что это автоматизация для установки виртуальных машин, но нет, только продуктов Proxmox. ◽️Единую панель мониторинга для кластеров Ceph. ◽️Для распределённой сети можно вывести расположение узлов на географическую карту, плюс появились некоторые виджеты для визуализаций использования ресурсов на нодах. ◽️Централизованный интерфейс просмотра и управления всеми виртуальными машинами и контейнерами с хостов и кластеров, добавленных в панель. Можно их группировать по различным признакам. Для тех, кто не знаком с продуктом, кратко перечислю, что он уже умеет: ▪️Объединяет в себе одиночные узлы PVE и разные кластеры. То есть это единая точка управления вообще всеми узлами PVE и PBS. ▪️Позволяет управлять виртуальными машинами и контейнерами всех подключенных узлов. ▪️Поддерживает миграцию виртуалок и контейнеров как внутри кластера, так и между разными кластерами. ▪️Централизованное управление SDN. ▪️Централизованное управление всеми обновлениями узлов. Если у вас есть хотя бы 3 узла PVE и один PBS, то этот продукт уже вам будет актуален. Я развернул свежую версию, добавил туда кластер PVE и пару серверов PBS. Удобно, что кластер залетел туда сразу весь. Не пришлось отдельно каждую ноду закидывать. Ресурсами реально удобно управлять из одного места, в том числе миграциями. Подобная панель позволяет создавать более мелкие кластеры. Раньше всё хотелось засунуть в один кластер, чтобы было удобно управлять. А тут межкластерное взаимодействие прозрачное, работают миграции, так что нет смысла все узлы объединять в один большой кластер. Может оказаться удобнее логически их разбить на более мелкие и объединить в этой панели. В плане управляемости разницы не будет, зато обслуживать удобнее и проще, когда у тебя не один большой кластер, а несколько маленьких. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #proxmox

Недавно делал подборку из нескольких видео сериала Кремниевая долина. Из этой же области есть более старый сериал Компьютерщики (The IT Crowd), откуда пошла легендарная фраза: "А вы пробовали выключить и снова включить?" Сериал британский со специфичным юмором. Сейчас уже смотрится не так, как это было на момент выхода. Тогда вся эта тема IT поддержки была более живая, актуальная. Было много юмора на этот счёт. Сейчас всё это плавно сошло на нет. Небольшая подборка забавных моментов оттуда: 1️⃣ Собственно, самое начало сериала с легендарной фразой. 2️⃣ Джен проходит собеседование и становится руководителем IT отдела. 3️⃣ Стёб над ОС Vista. При разминировании заглючил робот. Морис спрашивает у оператора, какая там операционная система. Тот отвечает, что Vista, на что Морис восклицает, что мы умрём. В то время вышла Vista и собрала кучу негатива. Авторы решили обыграть это в сериале. 4️⃣ Рой пытается очистить ноут Джен от вирусов, а та просит просто установить браузер. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #юмор

Воркшоп Эталонная установка Zabbix: строим Production-ready инфраструктуру с нуля Умеете устанавливать Zabbix за 15 минут по инструкции? Отлично! А теперь давайте поговорим о том, как выглядит установка, которую можно показать безопасникам, архитекторам и другим коллегам без нервного смеха. На этом воркшопе мы развернём полноценную отказоустойчивую инфраструктуру Zabbix, максимально приближенную к тому, что используется в крупных компаниях. Не будет слайдов на 100 страниц. Будет практика. За время воркшопа мы: ✅ Развернём кластер PostgreSQL высокой доступности ✅ Настроим отказоустойчивый Zabbix Server ✅ Поднимем Zabbix Web и HAProxy ✅ Настроим TLS между компонентами ✅ Разберём сертификаты, шифрование и безопасные подключения ✅ Настроим автоматическое переключение при отказах ✅ Проверим работу всей системы на практике В результате вы получите понимание того, как строится современная отказоустойчивая система мониторинга. Этот вебинар будет полезен: 🔹 Инженерам мониторинга 🔹 Системным администраторам 🔹 DevOps-инженерам 🔹 Архитекторам инфраструктуры 🔹 Всем, кто отвечает за эксплуатацию Zabbix По ходу вебинара будем отвечать на вопросы и разбирать реальные кейсы участников воркшопа. Регистрация P.S. На следующей неделе (22-26 июня) у нас стартует тренинг Zabbix сертифицированный специалист, осталась буквально пара мест. Приходите! Реклама, ООО "ГАЛС СОФТВЭР", ИНН 5047195298.

Сколько лет пользуюсь Grafana, впервые столкнулся с нелепой проблемой, созданной на ровном месте. После установки и настройки перепутал пароли и записал не тот. Пытаюсь зайти в веб интерфейс, получаю ошибку: "Login failed Invalid username or password". Перепробовал все пароли, ничего не подходит. Смотрю логи: "too many consecutive incorrect login attempts for user - login for user temporarily blocked". Всё понятно - после очередной неудачной попытки пользователь был заблокирован. Для пользователя это супернеудобно, потому что если не знаешь о том, что тебя заблокировали, будешь до посинения перебирать пароли и беситься, что со мной и произошло. Наверное, так сделали в целях безопасности, но в ущерб удобству пользователя. Иду и сбрасываю пароль, чтобы уж наверняка и больше не попасть на блокировку: # grafana-cli admin reset-admin-password 'new password' Возвращаюсь в веб интерфейс, использую новый пароль и опять то же самое: "Login failed Invalid username or password". Что за ерунда, я же сбросил. Смотрю логи, там опять то же самое - пользователь заблокирован. По моим представлениям было бы логично разблокировать пользователя после того, как ему через консоль сбросили пароль. Не знал, сколько времени длится блокировка по умолчанию, пошёл искать. Нашёл - 5 минут. Если вам не нужен этот механизм с блокировками, можно отключить параметром: disable_brute_force_login_protection = true По умолчанию он включен, то есть значение false. Думаю, для внутренних установок без прямого доступа из интернета это не нужно, можно отключить, если нет повышенных требований к безопасности панели. Если вам всё же это нужно, то можно дополнительно настроить: brute_force_login_protection_max_attempts disable_username_login_protection disable_ip_address_login_protection Это позволяет гибко управлять параметрами. Например, если с одного IP идёт перебор разных учётных записей, то всё равно будет блокировка по IP в соответствии с параметром disable_ip_address_login_protection = false. А если у вас весь офис сидит за NAT и подключается к внешней Grafana, то это надо отключить, оставив только проверку на уровне логина. Иначе один пользователь в случае ошибки может заблокировать IP, и все зайти не смогут. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #grafana

Уже подписан на топовый канал про ИИ и облака? 📊📊📊📊📊 ◯ Да ⠀⠀ ⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯ ◯ Нет, но хочу ⠀⠀ ⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯ 📊📊📊 📊📊📊📊📊📊📊📊📊📊📊📊📊📊📊📊📊📊

В Windows есть давняя проблема с переключением раскладки, когда она не переключается с первого раза во время быстрого нажатия нужных клавиш. Она то исчезает, то появляется вновь. В последнее время стала опять донимать. Я уже писал пару заметок на этот счёт. Как оказалось, очень многие замечают этот баг. Связан он, насколько я понимаю, с визуальным отображением переключения, когда при нажатии комбинации клавиш выскакивает на короткое время плашка, визуализирующая процесс переключения. Совершенно случайно я нашёл для себя решение, которым хочу поделиться. Пришло оно с той стороны, откуда я и не ждал. Начну издалека 😁. У меня давняя привычка переносить панель задач Windows на правую сторону. Появилась она, когда я начал работать за ноутбуками. У них узкий вытянутый экран, не хватает рабочего пространства по высоте. Удобнее панель задач перенести вбок, чтобы увеличить рабочую зону. Со временем и обычные мониторы все расширились, поэтому привычка так и осталась. Современная Windows не позволяет перенести панель задач куда-либо из стандартного размещения снизу, поэтому приходится использовать ExplorerPatcher. Это бесплатное ПО, которое расширяет возможности настройки панели задач, пуска и некоторых других вещей. Автор много лет скрупулёзно его поддерживает, выпуская обновления под все апдейты винды, которые нарушают его работу. Я на самом деле не люблю всякие улучшатели системы и недавно решил отказаться от программы, попробовать стандартное расположение. Пару недель поработал. Ну не нравится. Все сайты и основное ПО не используют всю ширину современных мониторов. Она избыточна. А вот высота используется вся, поэтому логично увеличить рабочую область по высоте. Дополнительный плюс от нестандартного расположения - когда подключаешься к удалённым рабочим столам, не путаешься в расположении элементов. Твоё справа, а не твоё - внизу. В общем, вернул обратно программу и заодно проверил все её настройки. В разделе Трей есть параметр Переключатель языка, которое может принимать значение Windows 10 (без анимации). Выбираешь это значение и переключение языков работает чётко. Никакой плашки не выскакивает. Я много пишут текстов, уже несколько дней работаю, проблем с переключением больше нет. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #windows

Небольшая информационная заметка для тех, кто не сталкивался, как я ранее, с подобной историей. Иногда, чтобы поплотнее упаковать сервисы на хосте c PVE, я запускаю их в LXC контейнерах. В этом есть свои плюсы и минусы. Если у вас появится необходимость примонтировать диск по NFS, то не используйте LXC. Там это очень неудобно делать. У меня изначально не было планов использовать NFS, а потом понадобилось. В LXC напрямую со стандартными правами контейнера примонтировать NFS диск не получится. Его нужно сначала монтировать на хост, потом пробрасывать точку монтирования диска в контейнер. Помимо этого неудобства возникают проблемы с правами из-за разных UID/GID на хосте и в контейнере. Это решаемо, но неудобно. Плюс, не работает HA и миграция с прокинутой точкой монтирования с хоста в контейнер. Я у себя в итоге все вопросы порешал и настроил, но это неудобно. Если планируется использование NFS, то разворачивайте сервис в отдельной вирутальной машине. Это быстрее, универсальнее и удобнее в настройке. Если бы я с этим раньше уже сталкивался, так бы и сделал. Думаю, что в итоге придётся переехать в виртуалку. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #lxc #nfs #proxmox

Как правильно работать с резервным копированием в облаке? 25 июня приглашаем на бесплатный вебинар от MWS Cloud Platform всех, кто работает с облаками. ⚫️Развеем мифы, разберём лучшие современные подходы и инструменты. ⚫️Обсудим интеграцию в процессы, консистентность, точечное восстановление и безопасность. Поговорим о плюсах нативных облачных инструментов. ⚫️Проведём демо в MWS Cloud Platform и ответим на ваши вопросы. Зарегистрируйтесь, чтобы не пропустить! ⏰ 25 июня в 14:00 (мск) ✅ Зарегистрироваться

В описаниях продуктов или в обсуждениях в чате иногда упоминается FreeBSD. Это старая самобытная система, которая некоторые время была очень популярна на серверах. Когда я начинал администрировать UNIX где-то в 2005-2006 году, с неё началось моё знакомство с невиндовыми системами. Примерно в то время родился мем: "Как пропатчить KDE2 под FreeBSD?". Мне он был понятен, потому что мой напарник на работе в то время купил себе ноутбук и часами, а зачастую и днями, собирал на нём из исходников KDE, пытаясь превратить его в рабочую станцию под FreeBSD. В целом, у него это получилось. Система работала, но было не очень понятно, зачем это надо. Раз уж заговорил про сборку, то сразу отмечу особенность этой системы. В то время в FreeBSD почему-то было принято всё собирать из исходников, в том числе саму систему. Называлось это, если я не ошибаюсь, пересобрать мир. За давностью лет уже стал забывать некоторые нюансы. Значительно позже появились собранные бинарные пакеты, как это сейчас принято в Linux. Но я к этому времени уже почти перестал использовать FreeBSD. По умолчанию FreeBSD ставится на файловую систему UFS. Мне она запомнилась тем, что после аварийного выключения почти всегда были какие-то ошибки, надо было запускать fsck. Как только появилась поддержка ZFS, стал ставить систему на неё. С ней проблем никогда не было. Специально проверял - выдёргивал питание во время работы, запускал. Ей хоть бы что. В целом, мне нравилась эта система. В пике её популярности мне как-то попались диски с RedHat Linux. Я развернул, посмотрел, не проникся. Не понял, зачем мне это может быть нужно и чем оно лучше FreeBSD. У последней особенно нравилось то, что есть единая документация и единое хранилище всего софта, называемое портами. Было единообразие всех серверов и инструкций, в то время как в Linux был разброд и шатание. У всех систем всё по-разному настраивалось, разные инструкции, репозитории, пакеты. Ещё в FreeBSD нравился файл /etc/rc.conf, где в том или ином виде описывалось поведение всего настроенного софта. Как минимум туда добавлялось что-то вроде mysql_enable="YES" для всех установленных программ. Без этого они не запускались. Зайдя на сервер и посмотрев rc.conf, можно было сразу понять, что здесь настроено и с какими основными параметрами работает. В Linux ничего подобного так и не появилось, а жаль. Очень удобная функциональность. Также всегда нравился файрвол ipfw. Его настройка и поведение выглядело логичным и интуитивным, чего не скажешь об iptables. Сейчас, конечно, все к нему привыкли и воспринимают, как должное, но если изучать с нуля, то ipfw проще и понятнее. Из-за чего началось угасание FreeBSD, я точно не знаю. Не отложилось в памяти. Просто в какой-то момент стал замечать, что то какого-то софта нет под неё, то драйвера, то ещё чего-то. Как сейчас помню, последней каплей стало то, что я не нашёл агента для FreeBSD во время настройки популярного сервиса мониторинга NewRelic. Они просто не написали агента и не поддерживали эту систему. После этого я окончательно решил, что с FreeBSD надо прощаться и переходить на что-то другое. Изначально я начал изучать Debian, поднимать сервисы на ней. Но в одной компании столкнулся с огромным количеством CentOS. Там вся инфраструктура была выстроена на этой системе. Мне она показалась удобнее Debian, стал изучать и всё поднимать на ней. И это продолжалось до тех пор, пока CentOS не закончилась как полная копия RHEL. В какой-то момент Microsoft вписалась в разработку FreeBSD. Добавила нативную поддержку в ядре запуска на своём гипервизоре Hyper-V. Это было удобно. Казалось, что это может оживить FreeBSD, но по моим наблюдениям этого не произошло, и FreeBSD окончательно растеряла популярность и почти полностью ушла из production, задержавшись только в каких-то узких нишах, типа сетевых шлюзов. Сам я уже давно не работал с FreeBSD. Иногда хочется там что-то настроить из ностальгических соображений, но смысла в этом как-будто бы уже нет. Ушла эпоха. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #freebsd

На днях словил неприятное ощущение холодка, пробежавшего по спине, когда не смог запустить KeePass со своими паролями. А у меня там практически всё самое важное хранится. Сама программа со всеми настройками и зашифрованной базой паролей лежит на Яндекс.Диске. У меня эта схема заведена уже лет 10, может больше. И вот при запуске программы я получаю ошибку: "Том для открытого файла был изменён извне, поэтому работа с этим файлом невозможна". Текст неинформативен. Сразу почитал поисковики и ИИ на эту тему. Конкретики нет, обычно ошибка связана с хранением данных на съёмных носителях и их повреждением. Ну, думаю, ладно. Наверное что-то сломалось в момент синхронизации. Посмотрю в другом месте. У меня как минимум 3 активные копии этой директории диска, плюс бэкапы. Захожу на ноутбук, за которым работал накануне и там запускал KeePass. Подумал, что после работы на нём у меня на компьютер переехала повреждённая копия из-за каких-то проблем синхронизации. Но на ноутбуке она точно живая, вчера я её запускал. Не должна поломаться. Гружу ноутбук, запускаю, а там та же ошибка. Тут я уже напрягся, потому что история принимает неприятный оборот. На ноутбуке самая актуальная версия. Вчера работала - сегодня нет. При этом файлы не менялись. В корзине диска ничего нет. Гружу виртуалку, которая периодически скачивает для бэкапа к себе данные, потом выключается. То есть она не висит запущенной в режиме реального времени. Последних изменений там нет, которые могли произойти на ноутбуке и сломать работу. Там должна быть гарантированно работающая версия. Запускаю её и вижу ту же ошибку. Я уже серьёзно напрягся, потому что ситуация совершенно непонятна. Как может не работать версия программы, которая ещё недавно работала? Свежие изменения, которые теоретически могли её поломать, туда просто не приехали. А та версия, что есть, ещё недавно нормально работала. Скачиваю чистую версию KeePass с сайта, как я обычно делаю при обновлении, и подкидываю туда по привычке 3 файла: ◽️KeePass.config.xml - настройки; ◽️KeePass.exe.config - конфиг экзешника; ◽️baza.kdbx - база с паролями. Запускаю программу и опять получаю эту же ошибку. Тут я уже начинаю паниковать, потому что не понимаю, как мне теперь увидеть пароли. Это, конечно, не трагедия, потому что как минимум пароли ключей и email я знаю наизусть, а в связке с телефоном они позволяют всё восстановить, но тем не менее, это огромный труд. Там сотни паролей от серверов и сервисов. Всё это сбрасывать - мрак. Поднимаю бэкап от конца марта, запускаю, работает. Как минимум всё сбрасывать не придётся. Немного успокоился и стал соображать. Запустил чистую версию без своих настроек - работает. Подкинул базу паролей - открывается. ОТЛЕГЛО. Лёг спать, потому что уже поздно было. Я бы не уснул, если пароли не увидел. Утром выяснил, что проблема с файлом KeePass.exe.config, который в актуальной версии почему-то пустой, нулевого размера. В бэкапе от марта в нём есть данные, как и в архиве с сайта. В этом файле хранятся настройки экзешника. Там в том числе указано, с какой версией .NET Framework работает KeePass. Причиной моих проблем, судя по всему, стало последнее обновление Windows, которое я установил на всех устройствах, где запускал KeePass и получал эту ошибку. Точно помню, что там маячили уведомления о перезагрузке и установке обновлений, что я и проделал. Это обновление то ли каким-то образом обнулило этот файл, то ли сделало невозможным запуск без информации в этом файле, которая раньше не требовалась. Первый раз столкнулся с проблемами KeePass. Очень много лет им пользуюсь, и всегда всё работало чётко. Эта история заставила пересмотреть подход к хранению паролей. Вывода сделал два: 1️⃣ Основная рабочая директория должна располагаться не на Яндекс.Диске, а копироваться туда после изменений. 2️⃣ Периодически надо делать выгрузку паролей из программы, упаковывать их в шифрованный архив и хранить отдельно. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #password

Логи почищены. ВПО замаскировано. Следов нет. Так это выглядит для большинства. И именно здесь начинается работа специалиста по реагированию. После атаки злоумышленник заметает следы: чистит журналы, прячет вредонос, ломает таймлайн. Восстановить, что реально произошло, — отдельный навык, когда нужно собрать картину по крупицам. Курс «Реагирование на компьютерные инциденты» от Codeby — вход в BlueTeam и IRT. Вы расследуете инциденты на практических кейсах в виртуальной лаборатории. На курсе учат: ⏺️снимать дампы памяти и собирать артефакты с Windows и Linux ⏺️читать логи и разбирать вредоносное ПО ⏺️работать с Threat Intelligence и Threat Hunting — искать то, что прячут ⏺️вести реагирование по шагам: от первого сигнала до отчёта Что внутри ➡️26 тем, практические ДЗ с 5-й темы, итоговый экзамен — теория (30 вопросов) + расследование реального кейса на виртуальной машине с подготовкой отчёта. Длительность — 15 недель. Поток уже стартовал, но первая неделя вводная — запись открыта до 18 июня. При оплате сразу дарим скидку −30%. 👉 Бесплатная консультация: @CodebyAcademyBot Узнать подробнее о курсе Реклама, АНО ДПО «Академия цифровой защиты», ИНН 9706049526.

Казалось бы, какой сейчас смысл в веб сервере Apache, когда есть полно более современных аналогов? Я лично с ним взаимодействую только в проектах, где есть Bitrix, либо если на винде где-то надо опубликовать базу 1С. С помощью Apache это проще всего сделать. В недавнем вебинаре услышал от автора полезную идею по поводу Apache. Он может быть удобен, если надо быстро запустить что-то на php. В то время как для Nginx надо подниматься в отдельном контейнере php-fpm, Apache сразу имеет на борту mod_php, поэтому достаточно одного контейнера только с Apache, где будет сразу и php, и веб сервер. Для этой задачи есть официальный базовый образ. Покажу сразу на конкретном примере. Я иногда использую скрипт adminer. Это небольшой php файл, который позволяет через браузер подключиться к MySQL / MariaDB / PostgreSQL и быстро посмотреть или сделать что-то простое, не вспоминая консольные команды. На удивление живучий проект. Сколько лет ему, а он продолжает поддерживаться и регулярно получать обновления. Запускаем adminer в docker: # mkdir ~/adminer && cd ~/adminer # curl -sLo adminer.php https://github.com/vrana/adminer/releases/download/v5.4.2/adminer-5.4.2.php # docker run -d --rm --name adminer -p 8080:80 -v $(pwd):/var/www/html php:8.4-apache # docker exec adminer docker-php-ext-install mysqli # docker exec adminer apachectl restart Идём по IP адресу и открываем adminer - http://192.168.137.37:8080/adminer.php. В данном случае понадобилось дополнительное расширение mysqli установить, необходимое для работы adminer. Если будете постоянно что-то использовать таким образом, можно свой образ собрать. Создаём Dockerfile: FROM php:8.4-apache RUN docker-php-ext-install mysqli COPY adminer.php /var/www/html/index.php Собираем образ и запускаем: # docker build -t adminer . # docker run -d --rm -p 8080:80 adminer Для простых задач с php стандартный образ с Apache реально удобнее всех остальных. Не надо ничего придумывать и настраивать. Всё сразу работает в одном минимальном контейнере. Поясню на всякий случай для тех, кто может не понять сразу. Это решение для простых одиночных задач без нагрузки. Php-fpm появился не просто так, а как решение вопроса медленной асинхронной работы mod_php в Apache. В нагруженных проектах лучше использовать php-fpm. Хотя тот же Битрикс сколько лет успешно работает по умолчанию на Apache с некоторыми настройками. Например, в модуле mpm_prefork можно заранее настроить запуск необходимого количества процессов веб сервера, на которое хватает ресурсов, а так же их параметры перезапуска и обработки запросов. Я настраивал Битрикс как на Apache, так и на php-fpm. Если ресурсов в целом хватает на сервере, то разница не особо незаметна. p.s. Уже после написания заметки увидел, что у Adminer есть свой готовый образ. Не знаю, когда он появился, я всегда обычный php файл использовал, скачивая его на настроенный хостинг. Сути заметки про использование Apache это не меняет. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #apache #php