Записки IT специалиста

Работа с картинками в веб-сервере Angie (Nginx) Без изображений сегодня не обходится ни один современный веб-ресурс и в тоже время изображения могут оказаться самой тяжеловесной частью сайта и серьезно замедлять его работу. Конечно, работу с изображениями лучше построить еще на этапе подготовки материалов, но не всегда это возможно, особенно если за публикацию материалов отвечают технически неграмотные сотрудники, которые могут разместить на сайте полноразмерные картинки без оптимизации. В этом случае ничего не остается, как обрабатывать изображения на самом веб-сервере и тут нам поможет Angie, который является более продвинутым форком Nginx (хотя вы можете использовать и последний). Почему именно Angie? Да потому что он имеет в репозитории уже скомпилированные модули и вам не нужно пересобирать веб-сервер вручную, а также модуль для работы с изображениями у него поддерживает форматы JPEG, GIF, PNG, WebP, HEIC и AVIF, в то время как Nginx ограничен JPEG, GIF, PNG и WebP. Данный модуль называется http_image_filter_module и для его установки вам понадобится команда:

apt install angie-module-image-filter  libgd3

Версию библиотеки libgd уточните для своего дистрибутива и именно от нее зависит набор поддерживаемых форматов. Пример конфигурации:

location /img/ {
    proxy_pass   http://backend;
    image_filter resize 800 600;
    image_filter rotate 90;
    error_page   415 = /empty;
}

location = /empty {
    empty_gif;
}

В нашем примере изображения из локации /img пропорционально будут уменьшены до размера 800*600 так, чтобы обе стороны не превышали указанные размеры. После чего изображение будет повернуто против часовой стрелки на 90 градусов, поддерживаются значения 90 – 180 -270. При совместном использовании с resize поворот происходит после изменения размера. Вместо resize можно использовать опцию crop:

image_filter crop 800 600;

В этом случае изображение будет уменьшено по большей стороне, а оставшиеся края обрезаны. При использовании совместно с вращением, поворот происходит перед обрезкой. Для конвертации формата используйте:

image_filter convert type 

Где в качестве type укажите jpeg, gif, png, webp, heic или avif, однако помните, что онлайн-конвертация, особенно современных форматов может оказывать высокую нагрузку на процессор и занимать длительное время. Чтобы процесс случайно не съел всю оперативную память можете использовать лимит буфера загрузки изображения:

image_filter_buffer 64M;

Также можно поиграть форматами качества, изменив соответствующие опции, которые по умолчанию имеют значения:

image_filter_jpeg_quality 75;
image_filter_webp_quality 80;
image_filter_heic_quality 80;
image_filter_avif_quality 80 6;

Для AVIF второй параметр является необязательным и указывает на скорость кодирования. При возникновении ошибок обработки: неподдерживаемый формат, неправильное расширение, превышение размера буфера и т.д. сервер выдаст ошибку 415 и отдаст картинку-заглушку empty_gif. Сразу отметим один момент, empty_gif - это встроенная директива, которая возвращает 1×1 прозрачное GIF-изображение чтобы не ломать правильное формирование страницы на клиенте. Т.е. никаких дополнительных изображений-заглушек нигде размещать не нужно. Тоже самое произойдет, если вы попытаетесь обработать формат не поддерживаемый http_image_filter_module или libgd. Как видим, ничего сложного нет. Но еще раз напомним, что работа с изображениями – процесс ресурсоемкий и на стороне веб-сервера его следует всячески избегать.

Аукцион выделенных серверов! Серверы дешевеют у вас на глазах! Новые лоты каждый день, скидки до -35% на весь срок аренды. Успейте арендовать, пока лот не ушел другому! Получить предложение #реклама 16+ selectel.ru О рекламодателе

Полезный инструмент для работы с DNS-записями Каждый администратор сталкивается с тем, что время от времени ему приходится проверять настройки DNS-записей для доменов, а также контролировать процесс их изменения. Обычно для этого используется консольная утилита nslookup, но есть и иные способы, например, использовать онлайн-инструмент https://dnschecker.org. В первую очередь он удобен при изменении записей домена, когда вам нужно проконтролировать процесс изменения на различных DNS-серверах. Теперь не нужно опрашивать каждый, просто запускаете проверку на главной странице. В результате вы увидите какую информацию о вашем домене возвращаются различные публичные сервера в разных частях планеты. При необходимости список можно отредактировать по своему усмотрению. Проверки доступны для всех основных типов записей, так что вы можете контролировать не только изменения A-записи, но и любых других. Также сервис содержит ряд иных инструментов для работы с DNS-записями, IP-адресами, сетями, разработкой сайтов и т.д. С его помощью можно легко выполнить все основные проверки DNS, наличие домена или адреса в черных списках, проанализировать заголовки почты и т.д. В целом ничего уникального, сайтов с такими проверками много, но здесь все в одном месте. Но основная ценность ресурса – это именно быстрая проверка записей на множестве серверов, что делает его удобным инструментом контроля изменений.

Аккредитация IT-компаний и регистрация российского софта 20 марта 2026 в 12.00 специализированная на правовом сопровождении IT-проектов юридическая фирма "Афонин, Божор и партнеры" проводит бесплатный вебинар для: - Основателей и владельцев IT-компаний - Руководителей юридических служб, финансовых директоров и бухгалтеров Тематика: 1) Актуальные требования для аккредитации IT-компаний, алгоритм и практические рекомендации 2) Регистрация ПО в реестре российского софта: "подводные камни", секреты успешной регистрации, разбор кейсов Спикеры: Михаил Божор - руководитель практики цифрового права, ТОП-30 юристов в области IT по версии Право-300, ИД Коммерсантъ, Российской газеты Олег Дульский - старший юрист практики цифрового права, более 60 зарегистрированных программ Виктория Морина - юрист, более 70 аккредитаций Записаться онлайн #реклама 16+ abp.legal О рекламодателе

Эволюция энергосбережения в архитектуре x86 или что такое ACPI История развития платформы x86 непрерывно связана с борьбой за энергосбережение. Особую актуальность этот вопрос приобрел в 90-е, когда начался стремительный рост таковых частот процессоров, вылившийся в конце десятилетия в «гонку гигагерц». Процессоры постоянно становились быстрее, производительнее и горячее. Причем сильно так горячее, старожилы должны помнить бодрое видео, на котором снимают радиатор с работающих процессоров Intel или AMD. И если Intel худо-бедно переживал такую ситуацию, то процессоры Athlon от AMD мгновенно сгорали. Это самое видео мы прикрепили к заметке. И с этим надо было что-то делать. А чтобы понять, что именно нужно делать немного отвлечемся от компьютеров и вспомним физику. Тепловыделение процессора прямо пропорционально частоте работы процессора, но при этом имеет квадратичную зависимость от напряжения питания. Если мы снизим на 25% частоту процессора на такое же значение снизится и потребление. А вот при снижении на 25% напряжения мы получим уже 44% экономии, а снизив одновременно и частоту, и напряжение получим целых 58% снижения потребления. Понимать как в настоящий момент загружена ОС могла только операционная система и поэтому возникли вполне закономерные мысли, чтобы передать ей управление режимами работы процессора. 1️⃣ Для этого в 1996 году был принят стандарт ACPI 1.0, который вводил новые универсальные состояния системы. 🔹 Начнем с S-states (System states) – глобальные состояния всей платформы, которые подразумевали следующие варианты: ▫️ S0 — работа ▫️ S3 (Suspend to RAM) — сон с сохранением в памяти ▫️ S4 (Hibernate) — сохранение на диск ▫️ S5 — мягкое выключение (дежурный режим БП и доступен WoL) Одновременно с ним вводились состояния простоя - C-states (CPU Idle states), которые существовали только внутри режима S0: ▫️ C0 — исполнение инструкций ▫️ C1 (Halt) — базовый простой с мгновенным пробуждением ▫️ C2/C3 — более глубокие состояния с отключением тактового генератора и кэшей Последние режимы дают значительно большую экономию, но и увеличивают задержку пробуждения. Все это было хорошо, но не решало проблемы энергосбережения в рабочем режиме, как только процессор выходил из состояния бездействия он начинал активно потреблять энергию вне зависимости от реальной нагрузки. 2️⃣ В ответ появились первые проприетарные технологии Intel SpeedStep (1999) и AMD PowerNow! (1999), которые умели управлять частотой и напряжением питания в зависимости от реальной нагрузки. В результате в 2000 году появился новый стандарт ACPI 2.0, который ввел понятие P-state (CPU Performance States), которые существовали внутри уровня C0. Первоначально предполагались: ▫️ P0 – полная производительность процессора ▫️ P1/P2 – энергосберегающие режимы со снижением частоты и напряжения процессора В первом приближении это решило проблему неэффективного тепловыделения, теперь процессоры при низкой нагрузке и в простое могли уходить в энергоэффективные режимы, но особой гибкости здесь не было. Процессор либо работал на полную, либо находился в одном из двух ограниченных режимов. 3️⃣ В 2004 году увидел свет стандарт ACPI 3.0, который ввел в прошивку BIOS таблицы DSDT, в которые вендором записывались все возможные сочетания частоты и напряжения, и система в зависимости от нагрузки могла выбирать один из них. Здесь мы вплотную приблизились к современным платформам, которые большую часть времени пребывают в режиме низкой частоты и напряжения питания, обеспечивая отличную энергоэффективность, но при необходимости могут быстро нарастить производительность.

Бесплатно: 5 дней Python для новичков → 4 мини-проекта 🐍 Телеграм-боты, парсер данных в таблицу и простой сайт. Без математики, только практика. Запись до 15 марта → тут Реклама. ЧОУ ДПО "ОБРАЗОВАТЕЛЬНЫЕ ТЕХНОЛОГИИ "СКИЛБОКС (КОРОБКА НАВЫКОВ)". ИНН 9704088880.

Как правильно «лечить» файловые базы 1С:Предприятие Считается, что файловая база 1С:Предприятие – это несерьезно и только для самых маленьких, однако это не так, существует целый ряд решений, где применяются именно файловые базы. В частности это фронтовые решения для торговли и общепита, такие как 1С:РМК или 1С:Касса, которые вообще не предусматривают клиент-серверный режим работы, а также и более взрослые конфигурации: 1С:Розница или 1С:РМК в режиме РИБ в качестве рабочего места кассира или локальной базы торговой точки. Ну а любой, кто работает с файловой базой рано или поздно столкнется с сообщением Файл базы данных поврежден. Но страшно только в первый раз, обычно это сообщение не вызывает особых эмоций, так как ситуация, можно сказать, штатная. Большинство пользователей знает, что исправить это состояние нам поможет утилита chdbfl.exe, которая находится в папке bin установленной платформы. Работать с ней не просто, а очень просто. Прежде всего делаем резервную копию поврежденной базы. Так как база файловая, то просто копируем файл 1Cv8.1CD, затем запускам утилиту, указываем путь к обозначенному файлу, ставим флаг Исправлять обнаруженные ошибки и запускаем. Утилита сама находит ошибки физической целостности файла базы данных и устраняет их. Кроме этого, она выполняет реструктуризацию базы и оптимизацию размещения системной информации, что благотворно влияет на ее быстродействие. Поэтому данную утилиту полезно запускать саму по себе, без ошибок. Ошибки найдены и исправлены, бинго! Можно открывать базу и работать. Но не спешите это делать. Утилита исправила только физические ошибки, но с точки зрения логической целостности база может находиться в противоречивом состоянии. Поэтому обязательно запускаем конфигуратор и выполняем в нем контроль логической целостности с исправлением ошибок, реструктуризацию можно не включать, это занимает время и не имеет особого смыла, потому что ее только что выполнила утилита chdbfl.exe. Более подробно про Тестирование и исправление вы можете прочитать в нашей статье: 🔹 Тестирование и исправление информационной базы - что делает и для чего нужно А бывает так, что утилита chdbfl.exe не показывает ошибок, а платформа все равно пишет, что конфигурация базы данных повреждена (или ошибку формата потока)? Бывает, в этом случае поврежденным оказывается кеш и его следует очистить. При этом не следует поддаваться ошибочному представлению о работе кеша и чистить его при любых ошибках. Кеш серьезно улучшает производительность 1С, особенно на не очень мощных компьютерах и чистить его без особой необходимости не рекомендуется.

Использование /31 префикса в IP-сетях /31 в IPv4 — это не «странная маска», а рабочий стандарт для линков точка-точка, особенно при подключении к провайдерам. Но если вы не понимаете, почему это вообще стало возможно и как оно устроено, вы либо переплачиваете адресным пространством на /30, либо боитесь внедрять /31 без уверенности. 📅 На открытом уроке 10 марта в 20:00: — Разберём, зачем появился /31, как именно работает линк с такой адресацией и чем подход отличается от классического /30. — После урока вы сможете принимать взвешенное решение, когда /31 уместен, а когда лучше оставить /30. Урок не для тех, кто хочет «просто запомнить настройку» без понимания механики и ограничений, или рассчитывает закрыть тему IPv4 адресации одной шпаргалкой. 👉 Записаться: https://otus.pw/xH8r/?erid=2W5zFH5yaV7 Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

DH Group на роутерах Mikrotik Как показывает практика, что если с выбором шифров у многих обстоит еще более менее, то выбор группы Диффи-Хеллмана - вопрос гораздо более непонятный. Начнем с начала. Алгоритм Диффи-Хеллмана, названный так по именам его разработчиков, применяется для реализации совершенной прямой секретности (PFS). PFS предусматривает формирование уникальных сеансовых ключей для каждого сеанса, что не позволяет расшифровать трафик никому, кроме сторон сеанса, даже владельцу закрытого ключа. Почему Диффи-Хеллман? Потому что данный протокол позволяет сторонам сформировать общий ключ шифрования не передавая его по каналам связи. Подробнее об этом можете прочитать в нашей статье: 🔹 Введение в криптографию. Общие вопросы, проблемы и решения Но вернемся к нашим Микротикам. В настоящий момент поддерживаются следующие Группы Диффи-Хеллмана:

Group 1    768 bits MODP group
Group 2    1024 bits MODP group
Group 3    EC2N group on GP(2^155)
Group 4    EC2N group on GP(2^185)
Group 5    1536 bits MODP group
Group 14   2048 bits MODP group
Group 15   3072 bits MODP group
Group 16   4096 bits MODP group
Group 17   6144 bits MODP group
Group 18   8192 bits MODP group
Group 19   256 bits random ECP group
Group 20   384 bits random ECP group
Group 21   521 bits random ECP group
Group 31   256 bits Curve25519 

Все группы делятся на использование модульного экспоненциального алгоритма - MODP или эллиптических кривых - EC, последние являются предпочтительными. В целом - чем больше номер группы, тем она надежнее. В настоящий момент группы 1 - 5 обладают малой длинной ключа и не считаются безопасными. Отдельно следует сказать о группах 3 и 4 - использующийся в них алгоритм имеет уязвимости, поэтому данных групп следует избегать. Последние рекомендации советуют для 128-битных шифров использовать группы 19 и 20, а для 256-битных и выше - 21 группу. Несколько особняком стоит 31 группа на эллиптической кривой Curve25519, которая обладает более высокой скоростью работы и безопасности чем аналогичная 256-битная кривая NIST P-256 группы 19. Отдельные источники ставят данную кривую на уровень группы 21 или немного лучше, при явно более высокой производительности. Поэтому если у вас только новые устройства, то Curve25519 будет лучшим выбором. Но следует помнить, что шифрование - процесс обоюдный, поэтому группы DH следует выбирать с оглядкой на клиентов, которые могут не поддерживать выбранные вами группы.

Рекордный обмен в SOKOLOV Пора поменять всё! ⚡ В SOKOLOV рекордный курс обмена золота: 9 000 ₽ за каждый грамм 585 пробы. Успейте превратить ненужное старое в любимое новое и выбрать украшения SOKOLOV со скидкой до 100% Узнать больше #реклама sokolov.ru О рекламодателе

Учится ли iRU на своих ошибках? Нет, не учится. В 2023 году мы писали про мини-ПК их производства на базе J1900, где установка 2,5” диска в штатный отсек приводила с резким ухудшением теплового режима с последующим выходом диска из строя. Причины такого поведения просты – просчеты в проектировании системы охлаждения корпуса. В тот раз они использовали пассивную систему охлаждения и установленный диск просто перекрывал большую часть вентиляционных отверстий мгновенно ухудшая тепловой режим корпуса. И вот сегодня просматривали с заказчиком варианты мини-ПК на N100 и снова столкнулись с моделью iRU 110ALCN. Что же мы видим? Снова пассивное охлаждение, хотя новый процессор горячий, существенно горячее предшественника. И снова возможность установки SATA диска 2,5”, как вы думаете куда? Правильно, на дно корпуса, прямо над памятью и NVMe диском, полностью перекрыв для них циркуляцию воздух и попутно закрыв более половины вентиляционных отверстий внизу крышки. После чего можно начинать делать ставки, кто первый отправится в страну вечной охоты от перегрева: штатный M.2 или установленный SATA. Можно ли избежать такого сценария? При данной компоновке – нет, с пассивным охлаждением – тем более. Поэтому всегда обращайте внимание на такие моменты, а лучше вообще не используйте 2,5” диски в устройствах подобной компоновки, даже если их можно установить туда штатно.

Работаете с СУБД? Присоединяйтесь к сообществу Pangolin! Телеграм-канал для разработчиков и администраторов баз данных. Pangolin — это PostgreSQL с 80+ доработками, и мы открыто рассказываем о его разработке. У нас вы найдете: • Технические детали и архитектурные решения • Разборы доработок PostgreSQL • Ответы на вопросы по эксплуатации и коду • Кейсы внедрения и оптимизации • Вакансии для тех, кто хочет работать с нами • Вебинары и встречи с экспертами • Знакомство с командой: хобби, книги и интересы Присоединяйтесь к сообществу, где говорят на языке баз данных Подписаться #реклама 16+ О рекламодателе

Выдача адресов клиентам в OpenVPN OpenVPN – классическое, пользующееся заслуженной популярностью решение для создания корпоративных сетей. И поэтому вопрос распределения адресного пространства является актуальным. По умолчанию, если не указано иных настроек, OpenVPN выдает адреса динамически из диапазона совпадающего с подсетью сервера, указанной в директиве:

server 10.8.0.0 255.255.255.0

В данном случае сервер возьмет себе первый адрес в сети – 10.8.0.1, а клиенты будут получать адреса из диапазона 10.8.0.2 – 10.8.0.254. Если такой вариант нас не устраивает, то мы можем задать диапазон выделяемых IP-адресов явно, добавив в конфигурационный файл сервера опцию:

ifconfig-pool 10.8.0.100 10.8.0.199

Теперь адреса клиентов будут выдаваться из указанного диапазона. Но как быть, если мы хотим выдать клиенту постоянный IP-адрес? Можно воспользоваться файлом CCD (Client Configuration Directory), где хранятся персональные инструкции для подключившегося клиента, добавьте туда:

ifconfig-push 10.8. 0.5 255.255.255.0

После чего подключившийся клиент получит адрес 10.8. 0.5. Таким образом вы можете раздать части клиентов выделенные адреса, а остальные продолжат их получать динамически. Все это хорошо, но если клиентов много, то добавляется достаточно ручной работы. Можно ли сделать проще? Да, если конкретного требования к адресам нет, то можно воспользоваться технологией IP Pool Persist, которая сохраняет привязки между именами клиентов и назначенными им IP-адресами. Чтобы ее активировать добавьте в конфигурационный файл сервера опцию:

ifconfig-pool-persist ipp.txt

Теперь при каждом подключении клиента OpenVPN считывает его имя – поле CN в сертификате и просматривает файл ipp.txt на предмет наличия записи с указанным CN. Если запись найдена, клиент получает указанный в ней адрес. Если нет, то берется первый свободный адрес из пула и выдается клиенту, после чего в файл вносится новая запись, закрепляющая этот адрес за клиентом. Таким образом мы получаем автоматическое выделение адресов с одновременным закреплением их за клиентами. И просто, и удобно. Можно ли самостоятельно редактировать этот файл? Можно, но только предварительно остановив службу во избежание конфликтов. Вы можете изменить закрепление адресов или добавить новые записи с нужными вам адресами, не дожидаясь пока это будет сделано автоматически. Если рассматривать оба приведенных нами способа, то следует помнить, что CCD имеет более высокий приоритет и клиенту будет присвоен адрес, указанный в CCD-файле даже если у него есть уже привязка в ipp.txt. И вот здесь нужно быть крайне осторожным, чтобы избежать конфликтов и неоднозначных ситуаций, если адреса в CCD-файлах и ipp.txt пересекаются. Что будет, если указанный в CCD адрес уже занят? OpenVPN выдаст первый свободный и занесет запись в ipp.txt. А если окажется занят адрес, указанный в ipp.txt, то поиск по файлу продолжится и если там есть вторая запись, то будет выдан указанные в ней адрес. Нет – снова первый свободный с созданием дубля записи. Впоследствии это может приводить к тому, что клиент начнет получать разные адреса в зависимости от условий подключения. Поэтому при появлении в ipp.txt дублирующихся записей следует внимательно изучить конфигурации клиентов.

Ваш бизнес может зарабатывать больше! Для этого вам нужен YCLIENTS — сервис онлайн-записи и автоматизации. Подходит для бизнесов в бьюти, спорте, авто, медицине и других сферах. С YCLIENTS вам доступны: — Онлайн-запись клиентов через сайт, соцсети и онлайн-карты. Гости записываются сами 24/7. — Ведение расписания и клиентской базы. Ни один контакт не потеряется! — Уведомления через мессенджеры и push. Напоминайте о записях, рекламируйте акции. — Абонементы, сертификаты, предоплата и другие инструменты для увеличения продаж и среднего чека. — Приложение для ваших клиентов YPLACES, где они смогут быстро повторить запись. Подключайте YCLIENTS и зарабатывайте больше. Первые 7 дней бесплатно! Перейти на сайт #реклама 16+ yclients.com О рекламодателе

Самозаверенные сертификаты. Мифы и реальность. Самозаверенные, они же самозаверяющие или самоподписанные сертификаты являются предметом многих расхожих мифов. Основной их смысл сводится к тому, что такие сертификаты жутко небезопасны и выставить наружу ресурс с таким сертификатом – это все равно, что без сертификата вообще. Но это мнение не имеет под собой никакого основания, так как сертификат никаким образом не влияет на набор используемых шифров и криптографических алгоритмов. За их использование полностью отвечают настройки защищаемого ПО, чаще всего веб-сервера. Кроме того, следует помнить, что выбор шифра – процесс обоюдный и не даром называется согласованием. В процессе установления соединения клиент получает от сервера список поддерживаемых шифров и выбирает из них самый стойких из тех, которые поддерживает сам. Если клиент не поддерживает ни один из предложенных шифров, то соединение установить не удастся. Но и наоборот, существуют специальные атаки на понижение шифрования, цель которых согласовать старый и нестойкий шифр. Поэтому предлагаемый набор шифров — это всегда компромисс между совместимостью и безопасностью. Так мы можем иметь «настоящий» сертификат и слабый набор шифров ради обеспечения совместимости с устаревшими клиентами или, наоборот, самоподписанный сертификат с небольшим набором самых современных криптографических алгоритмов. И вторая система будет обеспечивать гораздо высокий уровень безопасности чем первая. Так чем же плох самоподписанный сертификат? Тем, что с ним невозможно установить отношения доверия, которые являются ключевыми во всей современной криптографии. Проше говоря, устанавливая защищенное соединение мы хотим быть уверены, что сертификат действительно принадлежит указанному владельцу, а не третьему лицу. Чтобы помочь нам в этом вопросе существуют центры сертификации, авторитет которых не подлежит сомнению и если сертификат подписан одним из этих CA, то доверие к центру сертификации распространяется на сертификат, и мы тоже можем ему доверять. Для проверки доверия все центры сертификации выпускают собственные корневые сертификаты, которые позволяют убедиться, что сертификат выпущен именно этим удостоверяющим центром. Корневые сертификаты известных издателей распространяются вместе с ОС и хранятся в особом системном хранилище, исключающем их случайную подмену. Здесь существует один парадокс. Корневой сертификат удостоверяющего центра не является секретным, но доступ к нему в системе должен быть ограничен, так как в противном случае возможна атака типа человек посередине, и вы автоматически примете сертификат, подписанный злоумышленником. По этой же причине требуется крайне внимательно относиться к сертификатам, которые вы устанавливаете в качестве доверенных корневых центров сертификации, так как после его установки вы будете автоматически доверять всем сертификатам выпущенным этим центром. Также не следует путать самозаверенные сертификаты с сертификатами частных центров сертификации, например, корпоративным CA. С последними можно легко установить доверительные отношения (если вы действительно им доверяете) просто установив в систему нужный корневой сертификат. Самозаверенный сертификат не имеет центра сертификации и доверительные отношения с ним установить не удастся, все что мы можем – это добавить его в исключения, чтобы не получать уведомлений системы безопасности. Но это нужно сделать на каждой системе, при этом обязательно проверив тот ли это сертификат по отпечатку подписи. Но это способен сделать далеко не каждый пользователь и на практике даже добавления в исключения часто не происходит. Чаше всего предупреждение безопасности просто игнорируется, что является крайне плохой практикой, так как вам спокойно могут подменить сертификат, а вы даже не заметите. Подведем итог: самозаверенный сертификат с точки зрения шифрования столь же безопасен, как и любой другой. Основная его проблема – это невозможность установить доверительные отношения и однозначно доверять ему без дополнительных проверок.

Злоумышленники усложняют фишинг, объем утечек растет Фишинг стал сложнее, а утечки данных — масштабнее. Готова ли ваша ИБ-команда к новым вызовам? 3 марта эксперты «Солара» проведут ежегодный вебинар «Тренды информационной безопасности 2026: аналитика, кейсы, прогнозы от Solar JSOC». Покажем аналитику и разберем: - Как изменился ландшафт киберугроз в 2025 году для разных отраслей и чего ждать в 2026. - Какие внешние угрозы стали ключевыми и как им противостоять. - Как TI-фиды повышают эффективность SOC — рассмотрим реальные кейсы. Регистрируйтесь и получите инсайты для комплексной защиты бизнеса. Зарегистрироваться #реклама 16+ rt-solar.ru О рекламодателе

Имитация плохого канала в Mikrotik Время от времени требуется проверить работу сетевых приложений и служб в условиях плохого канала. Это легко сделать на оборудовании Mikrotik при помощи опции Random в правилах брандмауэра. Допустимые значения от 1 до 100, которые указывают вероятность срабатывания правила в процентах. Затем создаем правило, которое будет блокировать пакеты, ставим ему нужную вероятность и поднимаем на самый верх цепочки, во всяком случае выше правила для ESTABLISHED и RELATED. Самый простой пример:

add action=drop chain=forward in-interface=bridge1 out-interface=ether5 random=3

Данное правило будет блокировать случайным образом 3% проходящих через него пакетов. Но этим возможности не ограничиваются, вы можете составлять собственные правила с использованием всех доступных критериев. Т.е. имитировать сбои только по определенным протоколам и направлениям. В общем инструмент есть, а как его применить – это уже каждый думает самостоятельно.

Обновить нельзя экономить — запятую поставит Ref-сервер Новый сервер с 2 ТБ DDR5 стоит как 3 восстановленных с 4 ТБ DDR4 каждый. Для виртуализации, 1С, K8s и критичных сервисов редко нужны новые поколения. Прирост производительности — 5-15%, а разница в цене — до 70%. Отказоустойчивый кластер часто лучше, чем один новый узел. Наши восстановленные серверы — это не б/у с гарантией. Они прошли дефектоскопию, замену комплектующих (накопители — только новые), стресс-тесты и отбраковку. Даём гарантию 5 лет с выездом инженеров и держим свой склад ЗИП, чтобы снизить риски и ускорить сервис. Доставка по всей России — бесплатно. Нужна консультация технического специалиста? Обращайтесь — ответим на любые вопросы. Сайт с чатом: servermall.ru Телефон: 8 (800) 755-25-51 Узнать больше #реклама servermall.ru О рекламодателе

Настраиваем Uptime Kuma с обратным прокси-сервером Caddy и TLS-защитой Популярная система мониторинга Uptime Kuma представляет собой обычное веб-приложение и не имеет встроенных средств защиты, поэтому для ее публикации во внешнюю сеть нам потребуется обратный прокси, который будет брать на себя работу с TLS-сертификатами. Традиционно это решается при помощи Certbot и Nginx, но есть способ проще – веб-сервер Caddy, который крайне прост в настройках и показывает отличную производительность при скромном потреблении ресурсов. В целом особой проблемы запустить связку Uptime Kuma и Caddy нет, но всегда полезно читать официальную документацию. Так в документации Uptime Kuma мы нашли отсылку к проекту Caddy-Docker-Proxy, который работает с контейнерами Docker при помощи меток. Таким образом нам вообще практически не надо ничего настраивать, плюс мы получаем возможность использовать Caddy и для других развернутых на этом хосте контейнеров, получив своего рода Traefik «на минималках». Интересно? Тогда приступим. Нам потребуется следующий docker-compose.yml

networks:
    default:
        name: "proxy_network"
services:
    uptime-kuma:
        image: louislam/uptime-kuma:1
        restart: unless-stopped
        volumes:
            - /srv/uptime:/app/data
        labels:
            caddy: uptime.example.com
            caddy.reverse_proxy: "* {{upstreams 3001}}"
    caddy:
        image: "lucaslorentz/caddy-docker-proxy:ci-alpine"
        ports:
            - "80:80"
            - "443:443"
            - "443:443/udp"
        volumes:
            - /var/run/docker.sock:/var/run/docker.sock:ro
            - /srv/caddy/:/data
        restart: unless-stopped
        environment:
            - CADDY_INGRESS_NETWORKS=proxy_network

Все, что вам потребуется в нем поменять – это вместо uptime.example.com указать свой домен. После чего просто делаем

docker compose up -d

И переходим в браузере по указанному адресу. Если вам нужно использовать этот же контейнер Caddy для других контейнеров, то просто добавьте к нему метки:

caddy: service.example.com
caddy.reverse_proxy: "* {{upstreams 8080}}"

Где вы указываете желаемый внешний домен и порт внутреннего контейнера. Теперь при его запуске Caddy на лету изменит свою конфигурацию и начнет проксирование для нового сервиса.