Записки IT специалиста

Почему SWG и NGFW должны работать вместе NGFW — фундамент защиты сети. Но веб-трафик — сложная экосистема, где риски могут скрываться даже внутри разрешенных ресурсов. Чтобы увидеть больше, нужно заглянуть глубже. В этом поможет SWG-система. Вместе NGFW и SWG смогут обеспечить максимальную безопасность корпоративной сети: NGFW — на периметре, а SWG — в веб-трафике. Как грамотно построить комплексную защиту периметра сети, расскажут эксперты «Солара» на вебинаре «SWG и NGFW: почему вместе, а не вместо». Вы узнаете: - Какие задачи решает NGFW, а какие — SWG; - Почему SWG — не просто «еще один фильтр», а необходимость; - Как сбалансировать защиту без потерь в производительности. Вас ждут реальные кейсы совместного использования NGFW и SWG в компаниях. Регистрируйтесь, чтобы обеспечить защиту компании. Зарегистрироваться #реклама 16+ rt-solar.ru О рекламодателе

​​Как узнать все смонтированные файловые системы? Раньше можно было сказать: загляните в /etc/fstab, но сегодня изучение этого файла уже не даст полного представления о всех смонтированных ФС. Можно использовать команду mount, но ее вывод недостаточно удобочитаем. Но есть способ лучше - findmnt, данная команда выведет все смонтированные файловые системы в удобном древообразном виде. А если вы хотите видеть только реальные файловые системы, то используйте ее с ключом --real. Чтобы получить больше информации воспользуйтесь ключом --help.

Сколько месяцев ты ещё будешь сидеть без работы, пока другие получают офферы в IT? Дарим полный роадмап по вкатыванию в DevOps: ✅ Программа для обучения ✅ Бесплатные ресурсы с теорией ✅ Лайфхаки от Senior DevOps Бонус внутри: скидка 5000₽ на менторскую программу в GigaDevOps!  Скачать файл → [Тык сюда] Кстати, заглядывай в канал GigaDevOps, там тоже много полезной бесплатной инфы. 

​​Тонкие настройки LXC. Память Еще одной, часто используемой тонкой настройкой LXC являются лимиты использования памяти. Но перед тем, как переходить непосредственно к настройкам разберем некоторые особенности использования памяти контейнерами. В отличие от виртуальных машин, которые имеют выделенные ресурсы, контейнеры работают с общей памятью хоста и их аппетиты регулируются лимитами. Для системы контейнер ничем не отличается от любого другого приложения и точно также конкурирует за память на общих основаниях. Т.е. если мы «выделили» контейнеру 16 ГБ памяти, но просит он только 4 ГБ, то он получит только запрашиваемое, а остальные 12 ГБ будут доступны другим процессам. Это позволяет гибко настраивать выделение памяти, когда суммарно лимиты могут превышать доступный объем. Это нормально, допустим мы знаем, что наше рабочее приложение в среднем потребляет 2 ГБ памяти, но при пиковых нагрузках может попросить 3 - 3,5 ГБ, поэтому смело ставим лимит на 4 ГБ и, если в системе есть свободная память – контейнер ее получит. А вот тут начинается самое интересное – лимиты. Их четыре. Они отвечают за верхние и нижние значения. Начнем с верхних. В конфигурационных файлах Proxmox /etc/pve/lxc/nnn.conf (где nnn – ID контейнера) указывается просто выделенный объем памяти, а вот если мы заглянем в настоящий конфиг LXC в /var/lib/lxc/nnn/config, то увидим там две директивы (для контейнера с 4 ГБ памяти):

lxc.cgroup2.memory.max = 4294967296
lxc.cgroup2.memory.high = 4261412864

▫️ lxc.cgroup2.memory.max – это жесткое верхнее ограничение по памяти в байтах, ничего сверх указанного значения контейнер не получит. ▫️ lxc.cgroup2.memory.high – мягкий верхний лимит, Proxmox устанавливает его на уровне 99% жесткого лимита. При его достижении система начинает агрессивно вытеснять память, сбрасывать кеш и, если ничего не поможет, задействует OOM Killer. Данный зазор – в 1% - это есть защитный промежуток, чтобы контейнер вдруг внезапно не уперся в жесткий лимит, что будет означать, что память для него закончилась. Но стандартные Linux механизмы ему не помогут, так как он считает доступной всю память хоста. Таким образом memory.high как раз включает защитные механизмы и начинает активно освобождать память. Чем нам может помочь этот лимит? Для второстепенных контейнеров мы можем его понизить. Для нашего примера, когда для пиковой нагрузки в 3,5 ГБ мы поставили жесткий лимит 4 ГБ, то мягкий можем сделать как раз 3,5 ГБ. Если контейнер превысит это значение, то он начнет сначала свопить, потом сбрасывать кеш. Т.е. просядет в производительности, но конкурировать за память с более важными соседями не будет. Теперь перейдем к нижним лимитам, это:

lxc.cgroup2.memory.low
lxc.cgroup2.memory.min

▫️ lxc.cgroup2.memory.min – это нижний жесткий лимит гарантированной памяти контейнера. Фактически мы забираем объем, указанный в этой директиве из общего пула, и закрепляем за контейнером, даже если он ее всю не утилизирует. Скажем вы выделили 1 ГБ, а контейнер использует всего 256 МБ, но оставшийся резерв не будет доступен никакому другому процессу, так как закреплен за определенным контейнером. Поэтому использовать эту опцию надо осторожно, так как можно серьезно повлиять на стабильность и производительность всей системы. ▫️ lxc.cgroup2.memory.low – это мягкий нижний предел, который система выделяет контейнеру в приоритетном порядке, но, при необходимости, эта память может быть использована или вытеснена другими процессами. В данном случае система не жестко фиксирует, а защищает выделенный объем памяти от вытеснения. Если у нас есть несколько контейнеров с различными значениями memory.low и свободной памяти недостаточно на удовлетворение всех лимитов, то она будет распределена пропорционально значениям memory.low. Основное отличие от memory.min здесь в том, что если памяти не хватает, то ее не хватает всем, но некоторым ее не хватает чуть меньше, чем остальным. Это позволяет поддерживать систему стабильной, пусть и ценой некоторой потери производительности.

Импортозамещение в деле: Depo, Yadro, Гравитон и другие! Пора обновлять инфраструктуру? Тогда делайте это без привязки к зарубежным вендорам. Мы поставляем отечественные серверы, СХД и коммутаторы из реестра Минпромторга: Depo, Yadro, Гравитон, GAGARIN, UTINET, Аквариус, Рико, Норси-Транс, OpenYard, Нерпа и ДатаРу. Это производительная и отказоустойчивая альтернатива зарубежным аналогам, проверенная крупными компаниями и ЦОДами. Подходит для импортозамещения КИИ. Сервер Молл предлагает: ✅ Оборудование от ведущих российских производителей: в наличии на складах Готовые решения для ЦОДов любой сложности Гарантию до 5 лет и постпродажное обслуживание Бесплатную доставку в любую точку России. Не обещаем, а делаем! Если вам нужно российское оборудование для обновления инфраструктуры, пишите в чат или звоните — 8 800 755-25-51 📞 Перейти на сайт #реклама servermall.ru О рекламодателе

​​Вчера в обсуждениях поднялся вопрос о достоинствах и недостатках IPv6. 👍 Начнем с достоинств, они широко известны: 🔹 Устраняет дефицит адресов на многие десятилетия вперед. 🔹 Позволяет избавиться от NAT, теперь каждое устройство включая лампочку или чайник будет иметь собственный адрес и полноценно общаться с интернетом. 🔹 Улучшится работа P2P технологий 🔹 Упрощается автоматическая настройка сети при помощи SLAAC 🔹 Лучшая производительность за счет отсутствия фрагментации и упрощения заголовков пакетов. 🔹 Упрощается структура сети, так как устройства теперь могут общаться напрямую без NAT, VPN, туннелей и т.п. ☝️ Все это понятно, интересно, прогрессивно. Но есть и недостатки. Я специально потратил время и изучил профильные обсуждения на сетевых ресурсах. Из чего был выделен следующий список недостатков, которые больше всего беспокоят пользователей: 🔸 Отсутствие обратной совместимости, фактически «переход» на IPv6 будет означать одновременное использование двух стеков. А это увеличение затрат на администрирование, повышенная нагрузка на оборудование и ухудшение безопасности за счет увеличения поверхности атаки. 🔸 При смене провайдера поплывет вся адресация сети, чтобы избежать этого придумано IPv6 Network Prefix Translation (NPt), и это (внезапно 😉) по принципу работы тот же NAT 🔸 Безопасность. NAT позволяет эффективно закрыть сегмент сети от интернета и даже при ошибках настройки брандмауэра внутренние узлы не оказывались выставлены во внешнюю сеть. В случае IPv6 требуется гораздо более грамотная и вдумчивая настройка правил межсетевого экрана. 🤔 При этом каких-либо явных преимуществ пользовательским сетям (мы не рассматриваем провайдеров, телеком, датацентры и т.п.) IPv6 не дает. А фактически усложняет сеть за счет двух независимых друг от друга настроек, так как IPv4 никуда не делся и жить на два стека придется еще очень долго.

​​Алиса на YandexGPT 5 Pro Попробовал сегодня новую Алису на новом нейросетевом движке от Яндекса - https://alice.yandex.ru. Попробовать можно бесплатно, в сутки дается сделать 20 запросов. После их окончания вас переключат на обычную, старую Алису. И вот здесь можно попробовать задать те же самые вопросы и сравнить качество ответов. Я немного погонял ее техническими вопросами, конфигурациями, разбором логов и несложным скриптингом. Результаты откровенно порадовали. Если «старая» Алиса не блистала умом и сообразительностью, то новая отвечает весьма бодро, где-то на уровне GPT-4o. Как и любой другой нейросети ей присущи классические недостатки, самый серьезный из которых – придумывание. Она спокойно придумает вам несуществующие опции для конфига или сама додумает возможный синтаксис. Причем где-то она додумывает по образу и подобию – т.е. берет параметры из другой части конфига и применяет к текущей секции. А где-то фантазия разыгрывается куда дальше, и она пытается адаптировать опции из другого продукта. Это особенно заметно, когда спрашиваешь про что-то менее распространенное. Скажем для веб-сервера Caddy она спокойно придумывала параметры на основе аналогичных для Nginx, а когда я ей заметил, что в документации их нет, спокойно согласилась и выдала только то, что есть в документации. На более распространенных продуктах ведет себя достаточно адекватно, скрипты пишет достаточно уверенно, с должным уровнем пояснения. А стоит все это удовольствие 100 руб. в месяц. В целом достаточно неплохая альтернатива и пользоваться можно, особенно если вы уже используете другие сервисы Яндекса. Картинку ниже тоже она нарисовала.

Не знаете точную себестоимость произведенного товара❓ Рассчитываете приблизительно❓ Каждый раз задумываетесь по какому методу её калькулировать❓ 🔊Регистрируйтесь на наш вебинар РАСЧЕТ ТОЧНОЙ СЕБЕСТОИМОСТИ И ЦЕНООБРАЗОВАНИЕ В 1С:ERP 13.03.25 в 11:00 Кому будет полезен вебинар Собственникам бизнеса Генеральному директору Финансовому директору Главному бухгалтеру Экономисту ИТ-руководителю и др. РЕГИСТРАЦИЯ Реклама. Решетина Г.Н. ИНН 691105211910.

🤯 Почему не работает Hairpin NAT? Спросил сегодня коллега и сильно удивился, когда мы ответили что он и не должен работать. Почему? Смотрим первую картинку. Классическая ошибка проброса, вместо адреса использован интерфейс. А теперь думаем. Если пакет пришел снаружи, то условия выполнятся и правило сработает. А если изнутри? А изнутри пакет пойдет путем: внутренний интерфейс - INPUT - роутер. Почему? Да потому, что адрес хоть и "внешний", но принадлежит он роутеру. На внешний интерфейс такой пакет никогда не попадет и правило работать не будет. Поэтому правильно убрать из условия интерфейс, но добавить внешний адрес роутера в поле Dst. Address. Теперь внутренний пакет будет пойман в PREROUTING, для него будет выполнен DNAT и он пойдет через FORWARD по назначению. А как же Hairpin? А это уже на выходе, в POSTROUTING, ловим пакеты к узлу назначения и смотрим адрес источник, если это наша внутренняя сеть, но заменяем его на внутренний адрес роутера, чтобы пакет вернули туда, откуда он пришел (рисунок 2).

Как чат-боты помогают бизнесу уже сейчас ✅ +45% завершение заказов в брошенных корзинах ✅ 98% достигнут уровень сервиса удовлетворенности клиентов (CSI) ✅ до 240 ч. в неделю экономии отдела подбора персонала Хотите сделать свой бизнес более эффективным? Эксперты MANGO OFFICE собрали в гайд секреты автоматизации, которые помогут вам сэкономить время и ресурсы. Переходите в MANGO-бот и скачайте гайд Скачать #реклама 16+ О рекламодателе

​​Иди, читай логи Подобную фразу хоть один раз, но слышал каждый. Может показаться, что ею показывают нежелание решать проблему, но на самом деле это единственно верный подход в любом вопросе. Ведь у вас не вызывает недоумения если доктор отправляет вас сдавать анализы, а не пытается поставить диагноз угадыванием. Точно также и в информационных системах, потому что только лог содержит всю необходимую для диагностики информацию. Остальное – гадание на кофейной гуще и шаманские камлания с бубном. Но, как показывает практика, не все правильно умеют читать файл лога. Разберем некоторые распространенные ошибки. Самая распространенная из них – отрицание. Когда читающий лог говорит сам себе: да ну нафиг, какая-то ерунда тут написана. Не может быть. И вместо того, чтобы решать проблему уподобляется герою анекдота, который ищет часы не там, где потерял, а там, где светлее. Поэтому если в логе пишутся простые и очевидные вещи, скажем, неверный путь или неправильные учетные данные, то даже если вы в них 100% уверены – проверяйте еще раз. Ошибки, опечатки, регистр, невидимые символы, переносы строк – все может влиять. Особенно если вы копировали копипастом. Вторая ошибка – это фокус на самой ошибке. Очень часто коллеги, особенно начинающие, игнорируют контекст ошибки и сосредотачиваются на ее непосредственном описании, что порой не приносит никакого результата. В тоже время ошибка не возникает сама по себе, к ней приводит некоторая цепь событий, поэтому всегда читайте лог выше и ниже ошибки, ключ к решению может лежать в простых информационных сообщениях. Все еще непонятно – перейдите еще выше и внимательно пройдитесь по всей цепочке, читая все сообщения и стараясь понять их. Последнее тоже очень важно. Мы не раз и не два сталкивались с вопросами коллег, ответы на которые были явно написаны в приводимых ими строках лога. Ну и третья распространенная ошибка – это работа с недостаточным уровнем информации. Практически у всех приложений есть разные уровни логирования. И в нормальной работе используется далеко не самый информативный из них. Обычно в лог пишутся значимые события, предупреждения и ошибки, без технических подробностей. Поэтому идите в настройки приложения или службы и увеличивайте подробность лога. Причем не надо сразу выкручивать его «до упора», начните с увеличения на один-два уровня, будет мало – увеличите еще, в противном случае вы нагрузите себя бесполезной работой по разбору вороха ненужных подробностей. Разобрались с проблемой – вернули уровень подробности лога в норму. Про это тоже забывать не стоит, не следует забивать журналы лишними подробностями, вам же их потом читать. Ну и наконец, не издевайтесь над собой и не смотрите логи в голом текстовом редакторе или консоли. Поставьте плагин для подсветки логов, а в консоли установите утилиту для раскрашивания вывода. Это будет проще, нагляднее и информативнее. А также снизит нагрузку от монотонного просмотра однотипных строк.

Какие знания ключевые для успешного ИБ-специалиста? 🔴 Знание компьютерных сетей позволяет выявлять 70% уязвимостей, настраивать защиту и анализировать трафик, что критично для предотвращения 90% атак. Освойте сети за 4 месяца на курсе от Академии Кодебай — запись до 13 марта. Регистрация Курс создан для: Junior IT-специалистов, системных администраторов, Web-разработчиков, сетевых инженеров, которые хотят досконально освоить архитектуру сетей Содержание курса: ✦ Изучение топологии сетей, видов сетевого оборудования ✦ Маршрутизация данных и управление доступом к среде ✦ Протокол IP, транспортный и прикладной уровни ✦ Система имен DNS, безопасность в сетях и противодействие атакам По всем вопросам пишите @Codeby_Academy

​​Тонкие настройки LXC. Монтирование Еще одна часто встречающаяся задача – обмен файлами между контейнером и хостом, особенно когда надо передать большие объемы данных и сеть для этого не очень подходит. Для этого можно воспользоваться монтированием, попробуем смонтировать файл с хоста в контейнер, это может быть архив с дистрибутивом некоторого ПО. Для этого в конфигурационный файл /etc/pve/lxc/nnn.conf (где nnn – ID контейнера) добавим:

lxc.mount.entry = /home/file1.tgz home/file1.tgz none bind,optional,create=file

Обратите внимание, что путь к файлу на хосте мы указываем от корня, а в контейнере без указания начального слеша. Далее коротко пройдемся по опциям: ▫️none – тип файловой системы, в данном случае мы монтируем не ФС, а файл (аналогично и директориями). ▫️ bind – указывает на связывание, мы явно связываем файл в контейнере с файлом на хосте. ▫️ optional - необязательность монтирования, если файл на хосте отсутствует монтирование произведено не будет, блокировки загрузки контейнера не произойдет. ▫️ create – создать объект указанного типа (файл) в контейнере при его отсутствии. Теперь примонтируем директорию, это также просто:

lxc.mount.entry = /home/dir1 home none bind,optional ,create=dir

А вот задача посложнее – смонтируем LVM раздел с файловой системой ext4:

lxc.mount.entry = /dev/mapper/ lvm-vg-myvolume1 home/myvolume1 ext4 defaults 0 0

Здесь мы вместо none указываем явно тип файловой системы и параметры монтирования также как мы это делаем в fstab. А если нам нужно монтировать раздел блочного устройства, допустим у нас есть /dev/sda3 с типом файловой системы XFS. Здесь нам потребуется уже две строки:

lxc.mount.entry = /dev/sda3 home/volume3 xfs defaults 0 0
lxc.cgroup.devices.allow = b 8:3 rwm

Вторая строка разрешает доступ к устройству, где b 8:3 rwm означает: ▫️ b – блочное устройство ▫️ 8:3 – номер устройства, можно узнать командной ls -l /dev/sda3 ▫️ rwm – набор прав: чтение, запись, создание специальных файлов устройства. А теперь к несколько неожиданному, как мы помним в Linux все есть файл и если мы хотим поднять в контейнере сервис, который создает собственные сетевые устройства, скажем OpenVPN или WireGuard, то мы должны предоставить этим устройствам связь с внешним миром через хост. А для этого снова используем монтирование:

lxc.mount.entry: /dev/net dev/net none bind,create=dir
lxc.cgroup2.devices.allow: c 10:200 rwm

Мы смонтировали при помощи связывания специальную директорию /dev/net хоста в контейнер и выдали на нее права второй строкой. Единственное отличие с вместо b так как устройство у нас не блочное, а символьное. Теперь мы можем создавать в контейнере собственные сетевые интерфейсы и они получат доступ во внешний мир через сетевую систему хоста.

6 свободных мест на курс Коммутаторы MES продвинутый Осталось 6 мест: - 3 очных - 3 дистанционных Использование коммутаторов MES (продвинутый) Даты - 24.03-28.03 (5 дней) Другие курсы: Март: Коммутаторы MES (базовый уровень) - 10.03 - 14.03 - 4 места Апрель: Маршрутизаторы ESR (продвинутый уровень) - 31.03 - 04.04 - 8 мест Коммутаторы MES (базовый уровень) - 07.04 - 11.04 - 8 мест Записаться #реклама 16+ eltexcm.ru О рекламодателе

Как узнать в какой физический порт Mikrotik подключено сетевое устройство. Время от времени подобные задачи возникают. Для того, чтобы ответить на поставленный вопрос нам нужно заглянуть в MAC-таблицу коммутатора. В RouterOS это сделать довольно просто. Можно заглянуть в Switch - Host. Здесь все просто: находим нужный MAC-адрес и смотрим с каким портом он связан. Если на одном порту присутствует несколько MAC-адресов, значит далее есть еще один коммутатор, не обязательно физический. В наше время это вполне может оказаться виртуальным коммутатором гипервизора. Второй вариант - это Bridge - Нosts, здесь все в принципе тоже самое, но обращаем внимание на флаги. Флаг L обозначает, что этот адрес добавлен самим мостом, т.е. принадлежит локальному интерфейсу. Нас интересует флаг E, который говорит что этот MAC-адрес получен от чипа коммутации и принадлежит внешнему устройству.

​​Angie – лучший Nginx, чем Nginx Редко, но случаются ситуации, когда форк превосходит основной продукт. И Angie как раз этот случай. Данный форк основан нашими бывшими разработчиками Nginx и в первую очередь представлял вариант известного веб-сервера, но включенный в реестр отечественного ПО. А, импортозамещение, цены по запросу и все такое прочее… Мы тоже сначала так подумали и отнеслись к продукту с некоторым скепсисом, но, как оказалось, зря. Прежде чем продолжить, подсветим основные проблемы бесплатного Nginx, а именно крайне ограниченный набор возможностей из коробки. Эта политика давно и сознательно проводится головной компанией, для которой бесплатный Nginx просто ознакомительная версия для проявления интереса к основному продукту. Во что это выливалось на практике? Хотим поддержку той или иной современной технологии – пересобираем Nginx и необходимые модули к нему. С одной стороны ничего сложного, но с другой, если перефразировать Экзюпери: Мы в ответе за тех, кого пересобрали. Как только мы вступили на скользкий путь сборки мы берем на себя все бремя ответственности и поддержки, а если такой сервер не один? Забудьте про простое apt update – apt upgrade, теперь все куда интереснее и увлекательнее. Только вот развлекаться таким образом обычно нет ни времени, ни желания. Вторая проблема – это отсутствие в официальных репозиториях поддержки отечественных ОС, ну это и понятно, головная компания NGINX Inc находится в американской юрисдикции. Да, в репозиториях отечественных ОС есть пакеты Nginx, но это не самые последние версии и обновляются они не так быстро, как бы нам хотелось, а веб – это очень быстро изменяющаяся отрасль. Разработчики Angie учли эти моменты и сделали официальные сборки под все отечественные ОС и добавили отдельный репозиторий с уже собранными бинарными модулями. Мелочь, но это именно то, чего так не хватало в официальном Nginx. Просто поставили Angie, просто поставили модули, а потом просто обновляетесь пакетным менеджером системы. В готовых модулях есть все самое нужное, то, что всегда хотелось на Nginx, но от чего останавливала необходимость сборки. Перейти с Nginx на Angie также просто и данный процесс хорошо документирован на сайте. Но если вы в должной мере владеете утилитами командной строки Linux, тот же sed позволит выполнить это буквально в одну команду. Конфиги Nginx полностью совместимы, требуется только лишь поправить пути. И переход можно выполнить без простоя. Потушили Nginx и запустили Angie. Мы уже перевели несколько несложных проектов и никаких проблем у нас не возникло, теперь в планах перевод на Angie основного сайта. Также у Angie есть и то, чего нет в Nginx, например экспорт метрик или собственная веб-панель для мониторинга сервера, позволяющего контролировать основные параметры через браузер. В общем, если вы являетесь активными пользователями Nginx, то вам стоит обратить самое пристальное внимание на Angie. И с очень большой вероятностью он придется вам ко двору.

В канале Selectel Newsfeed новые бесплатные курсы! Наши бесплатные курсы для специалистов всех уровней помогут разобраться в темах быстро, структурно и последовательно. Вступайте в сообщество IT-специалистов в Telegram от Selectel и развивайте новые навыки📚 Смотреть #реклама 16+ О рекламодателе

Последнее время сталкивались с тем, что сканеры Mindeo идут из коробки с неоптимальными настройками и плохо читают коды маркировки. Для того, чтобы исправить ситуацию достаточно скинуть настройки к заводским, а затем включить нужные служебными штрих-кодами. А в идеале еще будет не лишним и прошить. Процесс простой и незамысловатый, в то время как прошивка постоянно обновляется в плане улучшения считывания. Обо всем этом в нашей статье: ✅ Обновление прошивки сканеров штрих-кода Mindeo MD6ххх

​​Для тех, кому не нравится Plasma, а хочется старого доброго KDE есть проект Trinity Desktop Environment (TDE), который является форком KDE 3.5 и старательно воспроизводит эту рабочую среду. При этом Trinity - это полноценная современная оболочка, которая следует за прогрессом и в которой можно спокойно работать. Посмотреть на нее можно в Q4OS, специальном дистрибутиве на базе Debian с оболочкой TDE. Почитать наш обзор можно здесь: https://interface31.ru/tech_it/2019/08/q4os-interesnyy-i-neobychnyy-linux-distributiv.html