ServerAdmin.ru

На днях словил неприятное ощущение холодка, пробежавшего по спине, когда не смог запустить KeePass со своими паролями. А у меня там практически всё самое важное хранится. Сама программа со всеми настройками и зашифрованной базой паролей лежит на Яндекс.Диске. У меня эта схема заведена уже лет 10, может больше. И вот при запуске программы я получаю ошибку: "Том для открытого файла был изменён извне, поэтому работа с этим файлом невозможна". Текст неинформативен. Сразу почитал поисковики и ИИ на эту тему. Конкретики нет, обычно ошибка связана с хранением данных на съёмных носителях и их повреждением. Ну, думаю, ладно. Наверное что-то сломалось в момент синхронизации. Посмотрю в другом месте. У меня как минимум 3 активные копии этой директории диска, плюс бэкапы. Захожу на ноутбук, за которым работал накануне и там запускал KeePass. Подумал, что после работы на нём у меня на компьютер переехала повреждённая копия из-за каких-то проблем синхронизации. Но на ноутбуке она точно живая, вчера я её запускал. Не должна поломаться. Гружу ноутбук, запускаю, а там та же ошибка. Тут я уже напрягся, потому что история принимает неприятный оборот. На ноутбуке самая актуальная версия. Вчера работала - сегодня нет. При этом файлы не менялись. В корзине диска ничего нет. Гружу виртуалку, которая периодически скачивает для бэкапа к себе данные, потом выключается. То есть она не висит запущенной в режиме реального времени. Последних изменений там нет, которые могли произойти на ноутбуке и сломать работу. Там должна быть гарантированно работающая версия. Запускаю её и вижу ту же ошибку. Я уже серьёзно напрягся, потому что ситуация совершенно непонятна. Как может не работать версия программы, которая ещё недавно работала? Свежие изменения, которые теоретически могли её поломать, туда просто не приехали. А та версия, что есть, ещё недавно нормально работала. Скачиваю чистую версию KeePass с сайта, как я обычно делаю при обновлении, и подкидываю туда по привычке 3 файла: ◽️KeePass.config.xml - настройки; ◽️KeePass.exe.config - конфиг экзешника; ◽️baza.kdbx - база с паролями. Запускаю программу и опять получаю эту же ошибку. Тут я уже начинаю паниковать, потому что не понимаю, как мне теперь увидеть пароли. Это, конечно, не трагедия, потому что как минимум пароли ключей и email я знаю наизусть, а в связке с телефоном они позволяют всё восстановить, но тем не менее, это огромный труд. Там сотни паролей от серверов и сервисов. Всё это сбрасывать - мрак. Поднимаю бэкап от конца марта, запускаю, работает. Как минимум всё сбрасывать не придётся. Немного успокоился и стал соображать. Запустил чистую версию без своих настроек - работает. Подкинул базу паролей - открывается. ОТЛЕГЛО. Лёг спать, потому что уже поздно было. Я бы не уснул, если пароли не увидел. Утром выяснил, что проблема с файлом KeePass.exe.config, который в актуальной версии почему-то пустой, нулевого размера. В бэкапе от марта в нём есть данные, как и в архиве с сайта. В этом файле хранятся настройки экзешника. Там в том числе указано, с какой версией .NET Framework работает KeePass. Причиной моих проблем, судя по всему, стало последнее обновление Windows, которое я установил на всех устройствах, где запускал KeePass и получал эту ошибку. Точно помню, что там маячили уведомления о перезагрузке и установке обновлений, что я и проделал. Это обновление то ли каким-то образом обнулило этот файл, то ли сделало невозможным запуск без информации в этом файле, которая раньше не требовалась. Первый раз столкнулся с проблемами KeePass. Очень много лет им пользуюсь, и всегда всё работало чётко. Эта история заставила пересмотреть подход к хранению паролей. Вывода сделал два: 1️⃣ Основная рабочая директория должна располагаться не на Яндекс.Диске, а копироваться туда после изменений. 2️⃣ Периодически надо делать выгрузку паролей из программы, упаковывать их в шифрованный архив и хранить отдельно. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #password

Логи почищены. ВПО замаскировано. Следов нет. Так это выглядит для большинства. И именно здесь начинается работа специалиста по реагированию. После атаки злоумышленник заметает следы: чистит журналы, прячет вредонос, ломает таймлайн. Восстановить, что реально произошло, — отдельный навык, когда нужно собрать картину по крупицам. Курс «Реагирование на компьютерные инциденты» от Codeby — вход в BlueTeam и IRT. Вы расследуете инциденты на практических кейсах в виртуальной лаборатории. На курсе учат: ⏺️снимать дампы памяти и собирать артефакты с Windows и Linux ⏺️читать логи и разбирать вредоносное ПО ⏺️работать с Threat Intelligence и Threat Hunting — искать то, что прячут ⏺️вести реагирование по шагам: от первого сигнала до отчёта Что внутри ➡️26 тем, практические ДЗ с 5-й темы, итоговый экзамен — теория (30 вопросов) + расследование реального кейса на виртуальной машине с подготовкой отчёта. Длительность — 15 недель. Поток уже стартовал, но первая неделя вводная — запись открыта до 18 июня. При оплате сразу дарим скидку −30%. 👉 Бесплатная консультация: @CodebyAcademyBot Узнать подробнее о курсе Реклама, АНО ДПО «Академия цифровой защиты», ИНН 9706049526.

Казалось бы, какой сейчас смысл в веб сервере Apache, когда есть полно более современных аналогов? Я лично с ним взаимодействую только в проектах, где есть Bitrix, либо если на винде где-то надо опубликовать базу 1С. С помощью Apache это проще всего сделать. В недавнем вебинаре услышал от автора полезную идею по поводу Apache. Он может быть удобен, если надо быстро запустить что-то на php. В то время как для Nginx надо подниматься в отдельном контейнере php-fpm, Apache сразу имеет на борту mod_php, поэтому достаточно одного контейнера только с Apache, где будет сразу и php, и веб сервер. Для этой задачи есть официальный базовый образ. Покажу сразу на конкретном примере. Я иногда использую скрипт adminer. Это небольшой php файл, который позволяет через браузер подключиться к MySQL / MariaDB / PostgreSQL и быстро посмотреть или сделать что-то простое, не вспоминая консольные команды. На удивление живучий проект. Сколько лет ему, а он продолжает поддерживаться и регулярно получать обновления. Запускаем adminer в docker: # mkdir ~/adminer && cd ~/adminer # curl -sLo adminer.php https://github.com/vrana/adminer/releases/download/v5.4.2/adminer-5.4.2.php # docker run -d --rm --name adminer -p 8080:80 -v $(pwd):/var/www/html php:8.4-apache # docker exec adminer docker-php-ext-install mysqli # docker exec adminer apachectl restart Идём по IP адресу и открываем adminer - http://192.168.137.37:8080/adminer.php. В данном случае понадобилось дополнительное расширение mysqli установить, необходимое для работы adminer. Если будете постоянно что-то использовать таким образом, можно свой образ собрать. Создаём Dockerfile: FROM php:8.4-apache RUN docker-php-ext-install mysqli COPY adminer.php /var/www/html/index.php Собираем образ и запускаем: # docker build -t adminer . # docker run -d --rm -p 8080:80 adminer Для простых задач с php стандартный образ с Apache реально удобнее всех остальных. Не надо ничего придумывать и настраивать. Всё сразу работает в одном минимальном контейнере. Поясню на всякий случай для тех, кто может не понять сразу. Это решение для простых одиночных задач без нагрузки. Php-fpm появился не просто так, а как решение вопроса медленной асинхронной работы mod_php в Apache. В нагруженных проектах лучше использовать php-fpm. Хотя тот же Битрикс сколько лет успешно работает по умолчанию на Apache с некоторыми настройками. Например, в модуле mpm_prefork можно заранее настроить запуск необходимого количества процессов веб сервера, на которое хватает ресурсов, а так же их параметры перезапуска и обработки запросов. Я настраивал Битрикс как на Apache, так и на php-fpm. Если ресурсов в целом хватает на сервере, то разница не особо незаметна. p.s. Уже после написания заметки увидел, что у Adminer есть свой готовый образ. Не знаю, когда он появился, я всегда обычный php файл использовал, скачивая его на настроенный хостинг. Сути заметки про использование Apache это не меняет. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #apache #php

▶️ Очередная подборка авторских IT роликов, которые я лично посмотрел и посчитал интересными/полезными. Это видео из моих подписок за последнее время (обычно беру период в 2 недели), что мне понравились. ⇨ Визуализация кастомных метрик Angie в Grafana Пример настройки различных метрик через модуль ngx_http_metric_module. ⇨ DevOps в Эру AI: Заменит ли ИИ DevOps инженеров и разработчиков уже через 5 лет? Длинное разговорное видео от практикующего Senior DevOps Engineer, которое можно послушать на прогулке или в машине. Просто мнение и мысли автора и его собеседника по этой теме. ⇨ MineCraft для чайников.. для пап =) Как запустить свой майнкрафт сервер. Я в своё время разбирался с этой задачей. Потратил некоторое время, всё сделал на арендованной VPS, чтобы можно было с друзьями играть на одном сервере. Но потом у детей как-то угас интерес к этой игре, а я всё забыл уже, потому что так и не написал заметку. Если вам актуальна эта тема, смотрите видео. ⇨ Hermes Agent + LM Studio | Локальный AI Агент на ПК Бесплатно Простое видео про настройку агента и локальной модели. Мне лично всё это уже не особо интересно, потому что много раз подобное настраивал. Но если вы ещё не занимались этим, то это видео хорошо подойдёт для знакомства - короткое, простое, наглядное. ⇨ Как я сломал себе Proxmox ноду, а потом быстрой восстановил Очередная история, когда новое ядро 7-й версии в Proxmox всё ломает. Я и сам с этим столкнулся, и много отзывов видел на эту же тему, так что имейте ввиду. Само видео про PBS и восстановление бэкапов. ⇨ Asterisk и Freeswitch в компании zt.ru Необычный вебинар на тему связи в исправительных учреждениях. Наверное, будет интересно только тем, кто знает и работает с Asterisk. Под капотом там мощный технологический стек, настроенный под специфику учреждений. Это такое место, куда готовое решение с рынка не купишь и не поставишь. ⇨ Инструменты для MCP сервера (MCP tools) ⇨ Ресурсы MCP сервера (MCP resources) Краткая база по MCP. У автора качественная база в коротких роликах по всем основным сущностям современных ИИ. Рекомендую. ⇨ Запускаю LTX-2.3 на H100 через Claude Code — 4K не пережил даже 96 ГБ Интересный эксперимент по использованию бесплатной модели LTX-2.3 для генерации видео на топовом ноутбуке с видеокартой и арендованном сервере с GPU. Результат вполне себе нормальный, как по мне. ⇨ Fable 5 - САМАЯ ДОРОГАЯ нейросеть: мой опыт и сравнение с Opus 4.8 Обзор и тесты новой нейросети от Anthropic - Fable 5. Выводы автора - нейросеть дороже в 2 раза и медленнее Opus, качество ответов выше на сложных задачах, на простых или в режиме чата разница не заметна. ⇨ Установка XPEnology 7.3 на примере Asustor AS5304T Для домашнего NAS по моему мнению - это идеальная система. У меня уже 15 лет такая стоит. В видео установка по шагам с теорией. ⇨ Заставил Claude неделю играть в Brotato 24/7 — он перестал проигрывать Решение необычной технической задачи в виде прохождения игры. Не знаю, зачем автор это создал, но мне было любопытно посмотреть. ⇨ Proxmox Datacenter Manager 1.1 — это гораздо более значимая разработка, чем вы думаете. Обзор PDM в целом и последнего обновления в частности для тех, кто с ним не знаком. В 1.1 много всего интересного завезли. Установлю его себе и попробую, сделаю потом заметку. ⇨ МиниПК Ninkear M8 с 16-поточным Ryzen и сетью 2.5 Гбит/c Классный неттопчик. Мне понравился. К сожалению, из-за дороговизны DDR5 эти неттопы стоят очень дорого. Осенью в районе 25к такой мог стоить. Сейчас под 50к. Я успел один купить для тестов, чтобы потом собрать дома кластер из них, но так и не собрал. По текущим ценам слишком дорого выходит. Собрал на старом железе, в том числе из б.у. сервера, как основу. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #видео

Спрос на эту профессию очень высокий, как и уровень зарплат в отрасли. Хороший DevOps-инженер — редкий и востребованный специалист. Если хотите стать одним из них — начните с курса Нетологии.  Что освоите за время обучения:  👉 Docker, Kubernetes, Jenkins, Git и ispmanager;  👉 настройку CI/CD и мониторинг инфраструктуры;  👉 администрирование Linux и работу с облачными технологиями;  👉 микросервисную архитектуру и отказоустойчивые кластеры. В программе — минимум 4 проекта, бесплатный доступ к Yandex Cloud, 3 месяца практики в ispmanager и приоритет при отборе на вакансии партнёра. Плюс 10 живых встреч с экспертами из Alibaba Group, VK и Ozon — сможете спросить о профессии всё, что волнует. До конца июня на курс действует скидка 50% по промокоду IT50JUNE — записывайтесь 💡 Реклама. ООО “Нетология” ОГРН 1207700135884 Erid:2VSb5xSQaSn

Вчера новость проскочила, что у Let's Encrypt поменялось пользовательское соглашение, где явно указано, что пользователь, получающий сертификат, не должен находиться под ссанкциями США. Чуть позже директор организации пояснил, что сертификаты продолжат выдаваться для частных лиц и негосударственных компаний из Ирана и России, но не будут доступны для российских и иранских госучреждений. Скорее всего пока это формальность и реально сертификаты продолжат выпускаться, как и раньше. Не для того всю эту мировую процедуру с шифрованием и бесплатными сертификатами в одном сервисе затевали, чтобы потом пользователей распугать. Я давно заметил домен letters.kremlin.ru, где сертификаты от Let's Encrypt. И сейчас он там стоит. Будет интересно посмотреть, получится ли его обновить или перейдут на другой центр сертификации. Вообще, странно было видеть на сайте Кремля сертификаты от американской компании. Им как-будто бы не место там. Как только прочитал эту новость, сразу же возникла мысль в голове. Let's Encrypt не будет препятствовать выпуску сертификатов. Но это наверняка сделает РКН. Как уже было много раз, формальные ссанкциии с той стороны подкрепляли реальными и проблемными блокировками на этой от РКН. Так что не удивлюсь, если со временем они осложнят процесс получения бесплатных сертификатов. Как только появится какое-то подобие аналога у нас, сразу и заблокируют. Считаю, что это случится с большой долей вероятности. Задан явный тренд на сегментацию интернета по всему миру. Европейцы тоже суетятся по этой теме, просто называют её по-другому. Сервис, подобный Let's Encrypt, не вписывается в будущую картину рунета, так что обязаны придумать какое-то решение, которое осложнит нам жизнь. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #не_хотелось_бы

У меня недавняя тема с переездом серверной получила продолжение, которого я бы предпочёл избежать, так как потратил кучу времени на решение. Я серверную перевёз, всё проверил и уехал. Работаю с этой компанией удалённо, слежу за серверами. Там на месте подготовили новый офис, повесили свитчи, соединили с серверной и подключили абонентов. Сели, начали работать. На вид как будто бы всё нормально, но то тут, то там, где-то что-то не работает. То принтер отвалится на 5 минут, то SIP телефон становится неактивным, то один сервер недоступен, то другой. Такие проблемы решать очень трудно. Со стороны серверов и управляемых свитчей я не увидел никаких проблем и ошибок, которые можно было бы исправить. Пришлось приехать, чтобы на месте разобраться. Удалённо ничего не получилось несмотря на то, что в офисе были руки, которые всё делали. Вооружился тестером, которым я пользуюсь очень редко. И вообще с проводами давно не работал, всё подзабыл. За последние лет 10 только в доме себе проводку сделал для камер и рабочих мест. Изначально думал, что где-то либо дребезжит контакт, либо глючит какое-то устройство, которое мешает нормальной работе, хотя по Wireshark я не видел чего-то подозрительного, например, спама пакетами. С таким сталкивался не раз. Глючит какое-то устройство и спамит в сеть. Выключаешь – всё нормально. Сам проверил соединения из серверной со свитчами, никаких проблем не увидел. Всё прозванивается. Выключил одновременно всё сетевое оборудование и включил. Иногда это помогает, но не в этот раз. Не буду рассказывать, что в итоге делал, перейду сразу к сути. Когда ничего не помогло, уже не знал, что делать. Поступил следующим образом. Вообще всех абонентов отключил. Оставил один свитч, один компьютер. Подключил, стал ждать. Почти сразу один из серверов стал недоступен. Такая паскудненькая ошибка, скажу я вам. Включаешь комп, всё работает. А потом раз, отвалился терминальный сервер, а всё остальное работает. И в логах чисто. Потом что-то другое отваливается. У кого-то помогает перезагрузка, а у кого-то нет. И так то одно, то другое. В какой-то момент посетила мысль, а нет ли тут каких-то помех, которые мешают работе сети. Спрашиваю на этот счёт электрика. И оказалось, что на одном отрезке Ethernet кабелей из серверной до свитчей пересекаются с линией 380В. Кидаю времянку напрямую, чтобы проверить. Так и есть. Проблема в этом. Кинули временные провода в обход этого участка, всё работает. Потом уже проложили на постоянку. По ходу дела оказалось, что ещё и один свитч глючил, который заменили. Эта зараза существенно осложнила диагностику, потому что глючила и по времянке. Провозился в итоге весь день. Если бы не пришла идея насчёт наводок, не знаю, как бы всё это решалось. Я просто уже сталкивался в прошлом с этим не раз, но тут как-то в голову не пришло сразу. На вид там не было такого, что трассы пересекаются с силовыми. Сразу не подумал об этом. Помню, как на одном производстве кран-балка включалась и весь этаж с офисом отваливался. Потом возвращался. Там тоже тестировали, провода перепрокладывали, сетевое оборудование меняли. Чего только не делали. Но этот кран такие наводки давал, что надо было очень далеко от его электрики провода класть. Похожую историю, только с мощным насосом рассказал один из подписчиков. Делал по этому поводу заметку. Может из-за неё и вспомнил про наводки, потому что не так давно это было. С проводами если постоянно не работаешь, то трудно всё это диагностировать. Нужен опыт подобных проблем, потому что эти наводки никак себя явно не проявляют. Хорошо, если сеть полностью ложится. Тогда проще найти причину. А когда вот так, то тут, то там что-то не работает, связать это с помехами сразу в голову не приходит. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #железо #ошибка

Выбираем IT-инфраструктуру в 2026: как сэкономить, соблюсти требования закона и заработать на партнерской программе провайдера? Увидимся на митапе и обсудим, что учесть при выборе инфраструктурного решения и как получить все преимущества от партнерской программы Selectel. ⏰ 18 июня, 18:30 📍 Онлайн и офлайн в Санкт-Петербурге 👥Для ИТ-руководителей, интеграторов, DevOps-инженеров и системных администраторов Присоединяйтесь, чтобы узнать: 🔹как выбрать подходящую инфраструктуру, оптимизировать расходы и масштабировать проекты; 🔹как соблюдать требования регуляторов и избежать штрафов и потерь; 🔹как помочь с выбором инфраструктуры клиентам и заработать с партнерской программой Selectel. Смотрите полную программу и регистрируйтесь: https://slc.tl/zms7k Чтобы не пропустить вебинар и узнавать о других событиях и бесплатных курсах Selectel, подписывайтесь на @selectel_events Реклама. АО "Селектел". erid:2W5zFHRSYQ9

В то время как ии-агенты сами себя улучшают и обучают, мне по старинке понадобилось вручную обновить биос одного старенького сервера Supermicro. На удивление без проблем нашёл и скачал всё, что надо на официальном сайте. Никаких подписок не понадобилось, запрета доступа тоже нет. Помню, что была опция по обновлению биоса в IPMI панели управления сервером. Захожу в Maintenance, нахожу BIOS Update и расстраиваюсь, так как для этого нужно приобретать какую-то лицензию. А без неё обновление только с загрузочного носителя в DOS или через UEFI. Очень не хотелось со всем этим заморачиваться, поэтому решил поискать путь попроще. И я его нашёл. Есть репозиторий supermicro-product-key. Там работающее решение по получению ключа для разблокировки расширенных возможностей IPMI. Я его проверил, способ рабочий. У меня получилось без проблем обновить bios. Для получения самой простой лицензии, которая позволяет обновлять биос, достаточно запустить генератор ключа на основе mac адреса сервера, который можно посмотреть в IPMI панели: > supermicro-product-key.exe oob encode 3cecef123456 CE27-F641-9B04-6B24-5D04-5D32 Вводим код и можно обновлять биос. Я чисто из любопытства установил и самую навороченную лицензию, которая позволяет выполнять централизованное управление всеми серверами. В репозитории есть все инструкции. На практике не знаю, где это может пригодиться. У меня нету парка однотипных серверов. А вот обновление биоса очень пригодилось. Плюс, какой-то уровень лицензии добавил iKVM через HTML5, а не через глючную Java. Приятный бонус. С учётом того, что серверы Supermicro за их стоимость довольно популярны у нас, решил написать заметку. Хотя лично я, если нужно приобрести сервер, отдаю предпочтение бушным серверам Dell. Я заодно и прошивку IPMI обновил. И по старой русской традиции не прочитал инструкцию по обновлению. А там красным цветом с восклицательным знаком написано, что во время обновления надо поставить галочку на сброс настроек к заводским. Конечно же я этого не сделал. Мне и в голову не пришло, что это обязательное требование. В процессе был выбор - сбросить или оставить настройки. Разумеется, я оставил. Нелогично же давать выбор, когда выбора реально нет, надо обязательно сбрасывать. В общем, после обновления IPMI он у меня сломался. Пришлось повозиться и через SUM (Supermicro Update Manager) сбросить настройки. Сервер старый, запасной, поэтому я поленился заморочиться и всё проверить. Но если будете рабочие сервера обновлять, то рекомендую всё же читать инструкции по обновлению как биоса, там и bmc. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #железо

Забавное видео попалось на ютубе, у которого было почти 200к просмотров. Вспомнил времена, когда я настраивал и внедрял Asterisk. Бросил это дело, потому что там много нюансов и очень хлопотно было поддерживать, не погружаясь в тему глубоко. В ролике представлен один из стандартных звуковых фрагментов, который можно выбрать для воспроизведения - tt-monkeys.wav. Это запись обезьян. То есть админ тут ничего особо и не придумывал. Просто настроил проверку существования номера. Для этого есть отдельная функция. Если номера нет, то возвращаем какую-то запись. Либо он на старые номера настроил воспроизведение звука. Вообще, разработчики Asterisk с юмором. Там много таких забавных моментов. Пример некоторых записей: ◽️tt-monkeysintro - их унесли мартышки ◽️tt-somethingwrong - что-то тут совсем не так ◽️tt-weasels - телефонную систему съели совы Зашёл на один из серверов, которым до сих пор управляю, и скачал эти звуки. Кому любопытно или хочет где-то использовать, можно забрать. Звук с мартышками универсальный, можно на звонок повесить :) ⇨ https://disk.yandex.ru/d/rtwlcEk610ty_g Подобные звуки можно вместо гудков поставить, например, при звонке в какой-то отдел. Вообще, настраивать Астериск было интересно. Это такая замороченная и очень гибкая система. До сих пор есть компании, где работает IVR с моими записями фраз. Нужно быстро настроить, а кого просить записать фразы? Записывал сам. Настраивал один из телефонов на запись звонка, звонил туда и наговаривал. Это был самый простой способ получить готовую к применения запись без лишних заморочек и обработок. #юмор #voip

SRE тут? Нашли для вас подкаст, который вполне может пополнить ряд любимых. Коллеги из Авито создали «В SREду на кухне», периодически собираются, зовут на запись гостей и обсуждают то, о чём не принято говорить в опенспейсе. Например, вот темы недавних выпусков: — GitOps не волшебная таблетка; — Зачем продукту бюджет ошибок; — Роняем прод, чтобы стать сильнее: всё о Chaos Engineering; — SRE больше не нужны. AI переписал правила. Отвечая на вопрос «А при чём здесь комьюнити?» — все дополнительные инсайты, статьи и мысли на темы выпусков ребята выкладывают в канал «Avito SREда». И там уже собралась активная аудитория коллег-инженеров.

Недавно прочитал статью про настройку Fwknop. Впервые услышал про этот инструмент, как и подход в целом, хотя он не нов. Идея в том, что вы отправляете специальный зашифрованный пакет с клиента на сервер, а сервер вам открывает доступ на подключение. Открытие доступа может выражаться в разных действиях, но в общем случае - это разрешающее правило на файрволе. Получается аналог port knocking, но принцип действия немного другой, со своими плюсами и минусами. Сразу перечислю плюсы и минусы: ➕ Достаточно отправить только 1 пакет, что позволяет обойтись без лишней логики в настройках файрвола ➕ Отправка осуществляется с помощью программы-клиента, что позволяет унифицировать использование ➕ С точки зрения безопасности это лучше, чем набор случайных нешифрованных сетевых пакетов в обычном port knocking. ➖ Пакет для аутентификации может блокироваться в каких-то сетях, то есть это менее надёжно, чем набор стандартных icmp или tcp пакетов ➖ Для корректной работы криптографии не должно быть больших расхождений по времени между клиентом и сервером ➖ Для доступа к инфраструктуре надо устанавливать и настраивать клиента Из описания сразу понятно, что это всё своего рода костылинг. Но в современных условиях это может быть очень актуально, так как никогда не знаешь, в какой момент тот или иной vpn заблокируют и придётся искать другие способы подключения к инфраструктуре. Архитектурно fwknop и port knocking выглядят очень просто и надёжно, пока не заходит речь о разделении доступа по пользователям. Это вносит существенные ограничения на применение такого подхода. У меня есть виртуальная инфраструктура, закрытая шлюзом на Debian с Iptables. Я сразу на нём и проверил работу fwknop для проброса портов во внутреннюю инфраструктуру. Ставим сервер и создаём ключи: # apt install fwknop-server # fwknopd --key-gen KEY_BASE64: tTxUvTOxidZdK3tTkXbgk1T0fbMyR8= HMAC_KEY_BASE64: 4qYZt6SX5yqiYRrHLMG0g2YwvQexYLA== Рисуем конфиг доступа /etc/fwknop/access.conf:

SOURCE       ANY
KEY_BASE64     tTxUvTOxidZdK3tTkXbgk1T0fbMyR8=
HMAC_KEY_BASE64   4qYZt6SX5yqiYRrHLMG0g2YwvQexYLA==
HMAC_DIGEST_TYPE  sha256
CMD_CYCLE_TIMER  60
CMD_CYCLE_OPEN   /usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 -i ens19 -s $PKT_SRC -j DNAT --to 10.100.1.250:8080
CMD_CYCLE_CLOSE  /usr/sbin/iptables -t nat -D PREROUTING -p tcp --dport 8080 -i ens19 -s $PKT_SRC -j DNAT --to 10.100.1.250:8080

Здесь я на 60 секунд создаю правило проброса портов с внешнего интерфейса на 10.100.1.250:8080. Для разных пользователей можно использовать разные ключи и действия со своими наборами правил. Рисуем конфиг fwknopd.conf самой службы:

ENABLE_NFQ_CAPTURE     N;
NFQ_INTERFACE        ens19;
NFQ_PORT          62201;

Запускаем службу: # systemctl start fwknop-server Проверьте, что служба слушает порт udp 62201, и откройте к ней доступ на файрволе. В качестве клиента я взял Fwknop-gui. Клиенты есть под разные системы, как с gui, так и без. Ему нужно передать ключи KEY_BASE64 и HMAC_KEY_BASE64. ☝️ Очень внимательно их копируйте и переносите. Я где-то хапнул лишний символ или пробел и очень долго разбирался, почему аутентификация не работает. В виндовом клиенте rijndael key = KEY_BASE64, а HMAC_KEY имеет идентичное именование. Пример настроек на картинке ниже. У меня в итоге всё заработало с этими настройками, но не скажу, что настройка была простая. Примеров не так много, ИИ тоже слабо помог. Разбирался сам с помощью статьи выше. Документацию тоже всю просмотрел, но там в основном интеграция с файрволом через свой скрипт управления правилами, что мне не подходит, поэтому я сами правила записал в выполнение команды. А вообще клиент сам может выполнять разные команды на сервере после прохождения аутентификации. То есть правила для файрвола можно и в клиенте прописать, но надо на сервере разрешить исполнение. Мне схема как у меня показалась наиболее простой и удобной. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #security #gateway

🔝 ТОП постов за прошедший месяц май. Все самые популярные публикации по месяцам можно почитать со соответствующему хэштэгу #топ. Отдельно можно посмотреть ТОП за прошлые года: 2023 и 2024 и 2025. Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://t.me/boost/srv_admin. 📌 Больше всего пересылок: ◽️Моя подборка бесплатного софта для небольшой инфраструктуры (821) ◽️Использование wstunnel для SOCKS5 ппрокси (420) ◽️Ролики с женщинами на админскую тематику (379) ◽️Настройка CrowdSec как замена Fail2Ban (271) 📌 Больше всего комментариев: ◽️Моя подборка бесплатного софта для небольшой инфраструктуры (130) ◽️Новая профессия - ИИ-инженер (100) ◽️Надёжность Яндекс.Диска (94) 📌 Больше всего реакций: ◽️Моя подборка бесплатного софта для небольшой инфраструктуры (276) ◽️Перенос процесса в другую сессию SSH с помощью reptyr (179) ◽️Проблема с ядром 7-й версии в PVE (174) 📌 Больше всего просмотров: ◽️Ролики с женщинами на админскую тематику (11400) ◽️Новая профессия - ИИ-инженер (9075) ◽️XFS и EXT4, какую ФС выбирать (7930) ◽️Забавные моменты из сериала Кремниевая долина (7700) Хотел себе парсер написать для автоматического анализа всего канала и с удивлением обнаружил, что метрики просмотров в клиенте и веб версии не совпадают. Причём расхождения приличные. Если кто-то знает, почему так и где данные более точные, подскажите. #топ

Как автоматизировать работу с выделенными серверами без слез и костылей Разбираемся на бесплатном вебинаре от Selectel. Присоединяйтесь, чтобы узнать, как работать с Terraform на выделенных серверах, чем подход Infrastructure as Code может быть полезен для бизнеса и как устроен Bare Metal Cloud в Selectel. Все участники вебинара получат промокод на 3000 бонусов в панели Selectel. 📍 Онлайн ⏰ 16 июня в 12:00 Регистрируйтесь ➡️ https://slc.tl/c1foi Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь! Реклама. АО "Селектел". erid:2W5zFJF8FLd

Решил вынести в отдельную заметку видео про Proxmox, которое мне показалось полезным, потому что некоторые советы из него я применяю сам, но никогда не собирал их в одну публикацию: ▶️ 5 полезных настроек Proxmox, которые стоит внедрить Речь там идёт вот о чём: 1️⃣ Включить настройку Discard в свойствах диска виртуальной машины, если у вас хранилище на базе SSD дисков. По умолчанию она выключена. Я всегда так делаю, а гостям в cron ставлю команду: # fstrim -av После её выполнения образ диска занимает ровно столько места, сколько реально занято в системе в госте, а не весь его объём. Это существенно экономит место на хранилище. Писал об этом подробную заметку. 2️⃣ Использование стандартных настроек CPU, которые поддерживаются всеми узлами кластера. Часто хочется указать тип host, и я так делаю, чтобы использовать все возможности ядра. Но в таком случае миграция не работает, если у вас узлы кластера с разными процессорами. Придётся установить что-то, что поддерживается всеми, типа x86-64-v2-AES, x86-64-v2 или kvm64. Тут уже по месту смотрите, из чего у вас собран кластер. 3️⃣ Автор предлагает использовать SDN вместо ручных настроек сети даже в самых простых ситуациях. Совет, конечно же логичный, но я пока костылю настройки сам без SDN. Надо бы переучиваться для унификации и переносимости. 4️⃣ Динамическая балансировка нагрузки в кластере. Она появилась в свежей версии 9.4 и автор предлагает её использовать. Собственно, почему бы и нет. Лишнее напоминание тем, кто пропустил новости с обновлением. 5️⃣ Последний совет на любителя - использовать различные панели управления и визуализации, типа Pulse или PegaProx. Я Pulse в пару мест поставил, где несколько хостов PVE. Выглядит красиво и удобно, но не сказать, что сильно надо. Можно и обойтись. Некоторые дополнительные советы от меня по первоначальной настройке PVE: ◽️Сразу через веб интерфейс отключаю enterprise репозиторий ◽️Готовлю простенький шаблон с системой для раскатки через cloude-init. ◽️Если не будет настраиваться ограничение доступа к веб интерфейсу через файрвол, то делаю его в настройках pveproxy через указание доверенных IP. ◽️Настраиваю отправку уведомлений (email, gotify) ◽️Если используется zfs, настраиваю лимит использования памяти ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #proxmox

И в продолжение утренней темы про переезд серверной. Как уже сказал, один из серверов не завёлся. Там был гипервизор Hyper-V. Раньше я постоянно использовал его бесплатную редакцию, потому что удобно и много инструментов для бэкапов. Последние несколько лет ставлю везде Proxmox. Тут поленился сделать заранее переезд на новый гипервизор, за что и поплатился. С виндовым терминальным сервером пришлось повозиться. В общем случае переезд с Hyper-V на Proxmox у меня выглядел просто: 1️⃣ Импортировал VHDX образ диска из Veeam Backup & Replication в файл. 2️⃣ Подмонтировал в Proxmox шару с файлом и забрал на гипервизор. # mount -t cifs //192.168.0.7/backup /mnt/fileserver -o user=backup,password=pass123 3️⃣ Создал новую машину в PVE без дисков. 4️⃣ Сконвертирал и сразу подключил диск к новой машине: # qm importdisk 107 /mnt/fileserver/terminal.vhdx local Формат команды следующий: # qm importdisk <vmid> <source> <storage> Система была без EFI, так что никаких лишних заморочек. Но дальше начались свои приключения, с которыми пришлось разбираться, так как у меня почти нет практики восстановления Windows. Если в Linux мне всё понятно - загрузчик grub, стартовый образ initramfs и дальше основная система, то винда - тёмный лес. Хорошо, что для таких случаев есть ИИ, который хоть и не давал точных ответов без ошибок, но направление было понятно. В системе не было драйверов virtio, соответственно, система не загрузилась, потому что загрузчик не нашёл диск, с которого надо грузиться. Дальше в целом понятно, что надо делать, но когда ты делаешь это в первый раз, возникает очень много нюансов, а основное неудобство в том, что работать приходится с консолью виртуальной машины, в которой не работает копирование и вставка. Всё приходилось набирать руками. И до кучи в здании не было интернета, потому что туда провели оптику, вроде как всё проверили, но когда я заехал по факту был обрыв волокна. Приехал по заявке монтажник почему-то без оборудования для варки, потому что подумал, что повреждён оптический патчкорд. В общем, всё как обычно 😱 Рассказываю суть, как чинить загрузку Windows систем при переезде в Proxmox, если про какой-то причине вы заранее не установили туда драйвера. 1️⃣ Загружаемся в режиме восстановления и запускаем cmd. 2️⃣ Запускаем diskpart, вводим команду list volume, чтобы узнать букву диска, где стоит система, и букву диска с драйверами virtio. Диск с Windows VirtIO Drivers надо скачать и подключить к машине. 3️⃣ С помощью dism можно интегрировать в неработающую систему нужные драйвера (viostor для ide и vioscsi для scsi). Для меня это было новым знанием: > dism /image:C:\ /add-driver /driver:D:\viostor\w10\amd64\viostor.inf 4️⃣ Далее оказалось, что интеграции драйверов недостаточно, их нужно то ли активировать, то ли добавить в загрузку. К сожалению, команд не сохранил, потому что смотрел их со смартфона. В общем, надо добавить ключ в реестр, чтобы драйвер загружался. Это тоже всё делается в cmd. 5️⃣ Опять с загрузкой провал. Система не грузится и ругается на неподписанный драйвер. Это ограничение можно обойти либо опять же командой в аварийной консоли, либо выбрав режим загрузки Windows, который есть в списке вместе с различными вариантами безопасной загрузки, который позволяет использовать неподписанные драйвера. 6️⃣ После всех описанных действий система загрузилась. Всё это заняло много времени и может показаться, что путь нерациональный с точки зрения того, что ничего не было подготовлено заранее. У меня на самом деле был подменный сервер с Hyper-V, куда бы я мог всё восстановить, но раз уж случилось, решил сразу переехать на Proxmox, чтобы потом опять не заниматься этой задачей. По ходу дела уже думал развернуть бэкап на Hyper-V, установить драйвера и вернуть на PVE, но не захотелось по сети гонять огромный образ диска. Решил вопрос на месте. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #proxmox #hyperv

🫣 Вы ведь не переносите вручную данные из сервис деска в другую систему и обратно, правда? 4 июня в 11:00 МСК приглашаем на вебинар «Как подружить ITSM 365 с другими сервисами: 4 способа настройки интеграций под ваши задачи» Особенно ждем тех, кто копирует и вставляет хочет улучшить автоматизацию сервисных процессов и узнать, что предлагает ITSM 365 в плане взаимодействия со сторонними системами. А нам есть что предложить: 3 базовых варианта и 1 альтернативный способ. 📶 Готовые интеграции — легко подключить, просто управлять 📶 Интеграции через JSON RPC — для тех, кто хочет сделать сам 📶 Настройка вендором — мы реализуем, вы пользуетесь 📶 Реализация с помощью low-code платформы — весь процесс внутри ITSM 365, без всяких там внешних сервисов Приходите, расскажем в подробностях! 🔗 Зарегистрироваться на вебинар Реклама, ООО Смартнат, ИНН 6658396257, erid: 2SDnjevC3xe

На днях перевозил небольшую серверную на новое место. Там всего 5 серверов и сетевая обвязка вокруг них. Не люблю это дело. Оборудование, которое работает годами, очень не любит, когда его выключают и куда-то перевозят. В данном случае на 100% актуален принцип - работает, не трогай. Собрал всё на новом месте - один сервер не запустился. Сервер старый - 12 лет, ещё на SAS дисках 10k формата SFF (2.5") и железном контроллере LSI MegaRAID. Вот он то и подвёл. Просто перестал определятся. Соответственно, сам сервер работает, но диски не видит. Я и так, и сяк его покрутил, повертел, потряс, повтыкал - ничего не помогает. Сервер хоть и старый, но жаль его, свою работу он выполнял, и его 8 дисков в одном юните были очень кстати. Это известная тема, когда выходит из строя рейд контроллер. Её всегда приводят в пример, когда спорят на тему, нужен ли он, или лучше использовать программную реализацию. Конкретно в этом споре мне довод о том, что рейд контроллер может сломаться, кажется нелепым. Сломаться может всё, что угодно. В любом случае должны быть бэкапы, чтобы не переживать за железо. У меня бэкапы были, уже развернул. Не без приключений, но всё получилось. Отдельно об этом расскажу. Для меня выбор между железным рейдом и софтовым даже сейчас не очевиден. Да, рейд контроллер - это ещё одна точка отказа и его функциональность почти полностью может заменить программный рейд. Но в то же время отвязка системы хранения от ОС с управлением и мониторингом через BMC (Baseboard Management Controller), плюс, простая и понятная горячая замена дисков, тоже выглядят удобным. Если всё нормально настроено, сбойный диск просто начинает мигать красным. Ты его вынимаешь, заменяешь и запускается ребилд, либо диск встаёт в резерв, а ребил уже был выполнен резервным диском. Всё максимально просто, даже сервер выключать не надо. В итоге я каждый раз ломаю голову при заказе нового сервера, брать нормальный рейд контроллер или нет, прокидывать диски в систему напрямую. А вы что предпочитаете? По поводу переезда серверов лишний раз хочу напомнить, что если выключаете, а тем более перевозите оборудование, которое много лет работает онлайн, всегда держите в голове, что что-то может не включиться. Я много раз с этим сталкивался. Чем старее железо, тем больше вероятность, что оно не включится. И хорошо, если будет понятно, что вышло из строя, а это не всегда так. Там банально пластик пересыхает в проводах, пропадает контакт или становится нестабильным. Конечно, хорошо полностью отвязаться от железа и арендовать облачные ресурсы. Но если взять, к примеру, этот сервер, который проработал 12 лет, и арендовать эти же ресурсы в облаке на такой же срок, то не ошибусь, если предположу, что расходов будет на порядок больше - раз в 10-20. #железо

▶️ Очередная подборка авторских IT роликов, которые я лично посмотрел и посчитал интересными/полезными. Это видео из моих подписок за последнее время (обычно беру период в 2 недели), что мне понравились. 🔥 Proxmox с 0 до 100%. Всё, что нужно знать! Автор серьёзно заморочился и записал 5-ти 😱 часовое видео по настройке Proxmox, где есть всё: виртуалки, контейнеры, кластер, SDN, CEPH, бэкапы и т.д. Я всё не смотрел, так как это знаю. Но видео у автора всегда качественные, так что рекомендую тем, кто хочет изучить эту тему. ⇨ AGENTS.md и CLAUDE.md: как готовить? Короткое видео с описанием и примерами настройки указанных файлов для ии-агентов. ⇨ Создаём Agent skills | Навыки агента Ещё одно коротенькое наглядное видео с описанием и созданием скилов для ии-агентов. У автора классное повествование, люблю его короткие ролики, где только суть. ⇨ Почему DevOps не могут найти работу в 2026 году? Что я увидел на собеседованиях Любопытный опыт собеседований автора, когда куча кандидатов накручивают опыт и врут. А вообще с работой в IT сейчас не очень. Так что не разбрасывайтесь ею и не делайте резких необдуманных движений. ⇨ Pi: Open-Source AI Agent Terminal Set-Up Обзор ии-агента Pi. Очень похож на Opencode, которым пользуюсь я. Как я понял, основная фишка Pi - максимальная лёгкость и экономия контекста, что наиболее актуально для локальных моделей, если хочется экономить токены и повышать общую производительность. ⇨ СРАВНЕНИЕ топовых Harness на локальных моделях:Opencode, Pi, Hermes, OpenClaw Короткое видео с результатами тестов агентов на реальных задачах. Кому не интересно смотреть, сразу скажу, что агенты несильно отличаются друг от друга, но чуть лучше других показали себя opencode и openclaw. ⇨ Я заставил 9 нейросетей решать задачи — победила самая дешёвая Ещё одни тесты, только уже открытых нейронок. Победил DeepSeek V4-Flash. Сами результаты тестов не особо интересны. Больше интересно посмотреть на примеры конкретных задач, которые они решают. ⇨ Один инструмент для всего доступа в homelab — NetBird Пример настройки Netbird - сервера для mesh сети из устройств на базе WireGuard. Автор разворачивает его на внешнем VPS и демонстрирует новую функциональность этого сервера, которая позволяет публиковать веб ресурс из внутренней сети с аутентификацией на базе Netbird. В этом плане Netbird стал похож на Pangolin, у которого публикация веб ресурсов - основная функциональность. ⇨ Pangolin — зачем он нужен твоему homelab? И тут же обзор Pangolin с решением той же задачи - публикация веб приложения из закрытой сети в интернет через внутреннюю mesh сеть. ⇨ Technitium: The Self-Hosted DNS Server You Should Run Подробный разбор функционального DNS сервера Technitium, как замену Bind или Dnsmasq для небольших сетей. Сервер классный, мне очень понравился, когда тестировал его. ⇨ Выбираем NAS для дома в 2026 году и не только Автор просто фанат насов. У него чего только не было - Synology, Terramaster, Aoostar, Zimaboard. Может ещё какие, я не особо слежу за этой темой. Если вы подбираете себе NAS, то имеет смысл его послушать. Он по умолчанию рекомендует Synology, как эталон беспроблемной системы для NAS. Я, кстати, с ним полностью. согласен. Если нет желания разбираться во всём этом и есть деньги, то берите Synology и не забивайте себе голову. У меня XPEnology уже 15 лет работает, всем устраивает. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX 😩 #видео

Проверьте свои знания о безопасности облачной инфраструктуры и получите 1 000 бонусов в панели Selectel, чтобы протестировать облачные сервисы на практике. Узнать, где правда → https://slc.tl/n5s7i?erid=2W5zFK2beYh