Admin Guides | Сисадмин

Человек 13 лет строил домашнюю инфру и в итоге получил геораспределённый Kubernetes-кластер на несколько квартир и дата-центров. 8 июля он расскажет, как это вышло, на юбилейном пятом митапе Deckhouse User Community в Москве. В расписании: — ИИ-агент, который управляет кластером (и однажды выключил продакшен) — Питч о веб-интерфейсе Deckhouse Kubernetes Platform — Как устроена новая система признания контрибьюторов: что получают те, кто помогает сообществу — Круглые столы про сети, виртуализация, безопасность, AI в инфре и нетворкинг. Митап офлайн, количество мест ограниченно, регистрируйтесь!

Поиск процессов слушающих на 0.0.0.0 вместо localhost Сервис который должен быть доступен только локально, но слушает на всех интерфейсах, это типичная дырка. Redis, Postgres, Elasticsearch без аутентификации на 0.0.0.0 находят сканерами за минуты. Смотрим кто слушает и на каком адресе:

ss -tlnp

Колонка Local Address:Port покажет либо 127.0.0.1:6379, либо 0.0.0.0:6379, либо *:6379. Последние два варианта означают что порт открыт наружу если файрвол не блокирует. Фильтруем сразу всё что слушает на всех интерфейсах:

ss -tlnp | grep -E "0.0.0.0|:::"

Для каждого найденного порта смотрим какой процесс и его конфиг:

ss -tlnp | grep 6379
cat /etc/redis/redis.conf | grep bind

Если bind 0.0.0.0 или bind строка отсутствует вообще, сервис слушает везде по умолчанию. Проверяем доступность снаружи реально, не из предположений:

nmap -p 6379 <внешний_IP>

⏺Что делать Привязываем к localhost если внешний доступ не нужен:

bind 127.0.0.1

Если доступ нужен но из ограниченного списка хостов, бинд на конкретный внутренний интерфейс плюс файрвол:

bind 10.0.0.5
iptables -A INPUT -p tcp --dport 6379 -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -j DROP

⚡️ Файрвол не оправдание для bind 0.0.0.0. Если правило где-то слетит при обновлении конфига или временно отключат для дебага, сервис без аутентификации окажется открыт всему интернету. Bind на нужный адрес это вторая линия защиты, не единственная.

WhoTam — приложение для защиты от спама, которое умеет звонить. Бесплатные аудио и видео звонки: ✅️ Работают даже там, где у Telegram "нет соединения" ❤️ Близким не нужно ничего скачивать - звоните любому контакту напрямую 🏄‍♀️ Доступны в любой стране мира без ограничений 🎁 Дарим месяц премиума бесплатно → по промокоду ZVONOK (пробив номера, как вы записаны у друзей, и антиспам защита) 👉 Забирай на IOS/Andoid бесплатно! (У пользователей IOS промокод применится автоматически, пользователям Android нужно ввести его вручную при оформлении тарифа) erid: 2W5zFJYhgfT

Вышла новая версия Password Safe 3.72.0 20 июня состоялся релиз открытого менеджера паролей Password Safe 3.72.0. Проект разрабатывается с 2002 года, написан на C++ и распространяется по лицензии Artistic License 2.0. Password Safe позволяет хранить пароли в зашифрованных базах данных на Windows, Linux и macOS, группируя записи по категориям, сайтам, пользователям и другим параметрам. Что нового в версии 3.72.0: ⏺добавлена поддержка тёмной темы и автоматическое переключение в соответствии с настройками системы; ⏺пользовательские поля теперь работают в фильтрах, импорте и экспорте, а также при сравнении и синхронизации баз; ⏺появилась возможность копировать значения пользовательских полей через контекстное меню; ⏺переработан интерфейс заметок и пользовательских полей для более компактного отображения; ⏺в AutoType добавлена поддержка вставки значений пользовательских полей через команду \v{name}. Также разработчики исправили ошибки, обновили переводы и улучшили производительность приложения на разных платформах.

Скрипт мониторинга температуры CPU с алертом в Telegram Сервер без мониторинга железа может перегреваться месяцами незаметно, пока троттлинг не начнёт резать производительность или диск не словит ошибки от перегрева. Простой скрипт с отправкой в Telegram закрывает это за 10 минут. Ставим lm-sensors и определяем датчики:

apt install lm-sensors
sensors-detect --auto
sensors

Смотрим вывод, находим строку Core 0, Core 1 или Package id 0, это и есть температура CPU. Скрипт проверки с отправкой алерта:

#!/bin/bash
THRESHOLD=80
BOT_TOKEN="ваш_токен"
CHAT_ID="ваш_chat_id"

TEMP=$(sensors | grep "Package id 0" | awk '{print $4}' | tr -d '+°C')

if (( $(echo "$TEMP > $THRESHOLD" | bc -l) )); then
  curl -s -X POST "https://api.telegram.org/bot${BOT_TOKEN}/sendMessage" \
    -d chat_id="${CHAT_ID}" \
    -d text="⚠️ CPU temperature: ${TEMP}°C on $(hostname)"
fi

Добавляем в cron каждые 5 минут:

*/5 * * * * /usr/local/bin/cpu_temp_check.sh

Для проверки что бот работает до того как ждать реального перегрева:

curl -s -X POST "https://api.telegram.org/bot${BOT_TOKEN}/sendMessage" -d chat_id="${CHAT_ID}" -d text="test"

⚡️bc может быть не установлен на минимальных образах. Если нет, сравнение чисел можно сделать через awk без внешних зависимостей: awk -v t=”$TEMP” -v th=”$THRESHOLD” ‘BEGIN{exit !(t>th)}’.

Гринатом — ИТ-интегратор Росатома — в поиске начинающего системного администратора! Это отличная возможность начать карьеру в ИТ и получить практический опыт работы с корпоративными информационными системами и защищённой инфраструктурой. Наш идеальный кандидат получил высшее техническое образование по профильным направлениям и владеет базовыми навыками работы с Linux-системами. Будет преимуществом опыт работы с DCAP/DAG-системами, а также навыки написания регулярных выражений. Вам предстоит администрировать информационные системы, управлять доступами пользователей, формировать отчётность, работать с классифицированными данными, контролировать использование серверных ресурсов и участвовать в обновлении серверов на базе Astra Linux. От нас — поддержка опытных наставников, работа с современными технологиями и решениями в контуре Росатома, возможности для профессионального развития, участие в масштабных цифровых проектах и карьерный рост в одной из крупнейших ИТ-команд страны. Откликнуться: https://spb.hh.ru/vacancy/134025154?hhtmFrom=employer_vacancies 

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое perf events в Linux и как их используют для профилирования системы? ✅Ответ: perf events — это подсистема ядра Linux для сбора информации о производительности CPU, подсистемы памяти, кэшей и других ресурсов. Она позволяет проводить точное профилирование приложений и ядра без модификации кода. Применение на практике: • Сбор статистики по событиям процессора (cache misses, branch mispredictions, CPU cycles). • Профилирование узких мест в приложениях и ядре. • Использование инструментов perf, perf stat и perf record для анализа и визуализации данных, что помогает оптимизировать производительность и выявлять узкие места на уровне CPU и памяти.

Как работает sudoedit и чем он безопаснее sudo vim sudo vim это антипаттерн который встречается везде. Проблема не в том что vim редактирует файл от root, а в том что весь vim целиком работает от root.

Из vim можно выйти в shell через :shell или запустить команду через :!команда. Получаешь полный root-shell в обход любых ограничений sudoers.

sudoedit работает иначе. Копирует файл во временную директорию, открывает копию от имени текущего пользователя в его редакторе, и только после сохранения копирует результат обратно от root. Редактор никогда не получает привилегии.

sudoedit /etc/nginx/nginx.conf
sudo -e /etc/nginx/nginx.conf

Обе команды делают одно и то же. Редактор выбирается из переменных окружения пользователя в порядке: SUDO_EDITOR, VISUAL, EDITOR. Можно поставить любой:

export SUDO_EDITOR=nano
sudoedit /etc/hosts

В sudoers можно явно разрешить sudoedit и запретить sudo vim:

user ALL=(ALL) sudoedit /etc/nginx/nginx.conf
user ALL=(ALL) !sudo vim /etc/nginx/nginx.conf

Проверяем что разрешено:

sudo -l

Тест:Как хорошо вы знаете Ansible?⚡️ 👉Что такое плейбук? a) Список серверов для управления контрольной нодой Ansible b) Список задач и настроек для конфигурирования хостов c) Специальный плагин Ansible для подключения к удаленным серверам по SSH d) Название внутренней архитектуры Ansible 5 вопросов по Ansible ждут вас внутри бота👇 👉 ПРОВЕРИТЬ СВОИ ЗНАНИЯ

Почему /tmp и /var/tmp это разные вещи Выглядят одинаково, оба для временных файлов, но поведение разное и это важно.

/tmp очищается при перезагрузке. На большинстве современных систем это вообще tmpfs, то есть RAM. Файл положил, сервер перезагрузился, файла нет.

/var/tmp переживает перезагрузки. Это обычная файловая система, systemd-tmpfiles чистит её раз в 30 дней по умолчанию. Файлы живут долго. Проверяем что реально смонтировано:

mount | grep tmp
systemd-tmpfiles --cat-config | grep -E "tmp|var/tmp"

Что куда класть В /tmp идёт то что нужно прямо сейчас: сокеты, pipe-файлы, временные буферы во время работы процесса. Приложения кладут туда lock-файлы, unix sockets, промежуточные данные между шагами скрипта. ⏺В /var/tmp идёт то что должно пережить перезагрузку: кеш пакетного менеджера, временные файлы установщиков, данные которые нужны после рестарта сервиса. Реальный пример: apt кладёт скачанные пакеты в /var/tmp чтобы не перекачивать если установка прервалась и сервер перезагрузили.

Как настроить ротацию паролей для системных пользователей Ротация паролей на Linux управляется через PAM и утилиту chage. Политика задаётся либо глобально через /etc/login.defs, либо точечно для каждого пользователя. Глобальная политика /etc/login.defs применяется ко всем новым пользователям при создании:

# /etc/login.defs
PASS_MAX_DAYS   90
PASS_MIN_DAYS   1
PASS_WARN_AGE   14

PASS_MAX_DAYS: через сколько дней пароль истекает. PASS_MIN_DAYS: минимум дней до смены, защищает от немедленной смены обратно на старый. PASS_WARN_AGE: за сколько дней предупреждать пользователя. Для существующих пользователей login.defs не применяется задним числом, только chage:

chage -M 90 -m 1 -W 14 username

Смотрим текущую политику пользователя

chage -l username
passwd -S username

chage -l покажет даты последней смены, истечения, предупреждения и блокировки. Применяем ко всем пользователям разом

for user in $(awk -F: '$3 >= 1000 && $3 != 65534 {print $1}' /etc/passwd); do
  chage -M 90 -W 14 $user
  echo "$user: $(chage -l $user | grep 'Password expires')"
done

Фильтруем по UID >= 1000 чтобы не трогать системных пользователей. Принудительная смена при следующем входе Если нужно сбросить пароль конкретному пользователю:

chage -d 0 username

При следующем SSH-входе система потребует сменить пароль до того как пустит в систему.

🌞🏄Лето в разгаре! Отпуск не должен сорваться из-за проблем на работе. Как построить ИТ-инфраструктуру, которая работает как часы, пока вы отдыхаете? В программе вебинара:    ✅ «Смарт Принт»: забудьте о проблемах с печатью и внезапно закончившихся расходниках. Система возьмёт под контроль всю печатную инфраструктуру — от мониторинга устройств до планирования закупок и контроля расходов    ✅ РЕД АДМ: управляйте всей ИТ-средой из одного окна. Автоматизируйте рутину, устанавливайте ОС на удалённые ПК одним кликом и контролируйте доступ к файлам ✅ Прямой эфир из демозала «Катюша» узнаете о самых свежих новинках этого лета    😍 Бонусы и подарки от партнёров мероприятия! ➡️ Регистрация https://click.wowblogger.ru/qxr564qplyo4p8n?erid=2VSb5xN5fni​ Реклама. О рекламодателе | Сделано в WOWBLOGGER

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое dirty pages в Linux и как работает механизм writeback? ✅Ответ: Dirty pages - это страницы памяти, которые были изменены в RAM, но ещё не записаны на диск. Они появляются, когда процесс пишет данные в файл, но ядро откладывает запись для оптимизации производительности. Как это работает: • При записи в файл данные сначала попадают в page cache и помечаются как dirty. • Ядро периодически запускает механизм writeback, который сбрасывает dirty pages на диск. • Это может делать pdflush / flush threads или отдельные kernel workers в зависимости от версии ядра.

Сервер начал дропать пакеты, но интерфейс чистый Нет ошибок на физическом уровне, линк поднят, счётчики интерфейса чистые. Но пакеты теряются. Значит проблема выше, внутри стека. Сначала смотрим общую картину дропов по всем слоям:

netstat -s | grep -E "drop|fail|error|overflow"
cat /proc/net/dev

Переполнение очереди входящих пакетов Пакеты приходят быстрее чем ядро успевает их обработать. Очередь переполняется, остальное дропается:

cat /proc/net/softnet_stat

Третья колонка это dropped. Если растёт, ядро не справляется с входящим потоком. Увеличиваем размер очереди:

sysctl -w net.core.netdev_max_backlog=5000
sysctl -w net.core.rmem_max=16777216

conntrack Таблица соединений полная, новые пакеты дропаются на уровне netfilter:

cat /proc/sys/net/netfilter/nf_conntrack_count
cat /proc/sys/net/netfilter/nf_conntrack_max
dmesg | grep "nf_conntrack: table full"

Если count близок к max, увеличиваем или чистим устаревшие записи:

sysctl -w net.netfilter.nf_conntrack_max=524288
conntrack -F

Переполнение socket buffer Приложение не успевает читать из сокета, буфер переполняется:

ss -s
netstat -su | grep "receive errors"

Смотрим конкретные сокеты с переполнением:

ss -unp | awk '$2 > 0'

Ненулевой Recv-Q на UDP говорит что приложение не успевает читать. iptables Правило которое дропает трафик молча, без лога:

iptables -L -n -v | grep -v "0     0"
iptables -t nat -L -n -v

Смотрим на счётчики pkts и bytes, ненулевые правила с DROP и REJECT.

Как правильно работать с резервным копированием в облаке? 25 июня приглашаем на бесплатный вебинар от MWS Cloud Platform всех, кто работает с облаками. ⚫️Развеем мифы, разберём лучшие современные подходы и инструменты. ⚫️Обсудим интеграцию в процессы, консистентность, точечное восстановление и безопасность. Поговорим о плюсах нативных облачных инструментов. ⚫️Проведём демо в MWS Cloud Platform и ответим на ваши вопросы. Зарегистрируйтесь, чтобы не пропустить! ⏰ 25 июня в 14:00 (мск) ✅ Зарегистрироваться

Пользователи Windows 11 критикуют Microsoft за ужесточение требований к учётной записи при установке системы. Теперь при первичной настройке всё чаще требуется вход в Microsoft Account, а создание локальной учётной записи официально не предлагается.

В обсуждениях на Reddit пользователи просят вернуть прежнюю опцию локальной установки без обходных методов вроде скриптов или Rufus. 

Microsoft объясняет изменения безопасностью и функциями вроде BitLocker, где ключи восстановления хранятся в облаке. ⏺Часть пользователей считает это оправданным, чтобы не терять доступ к данным, другие - навязанной интеграцией с сервисами компании. Несмотря на внутреннюю критику и обсуждения в Microsoft, компания пока не планирует возвращать простой локальный режим установки.

Что такое namespace в Linux и чем они отличаются от cgroups Два инструмента изоляции которые часто путают. cgroups отвечают на вопрос сколько: сколько CPU, памяти, IO получает процесс. Namespace отвечают на вопрос что видит: какие процессы, какие сетевые интерфейсы, какую файловую систему. Docker использует оба одновременно: namespace изолируют окружение контейнера, cgroups ограничивают его ресурсы. Какие namespace существуют ⏺PID namespace: процессы видят только свои PID. Внутри контейнера init имеет PID 1, снаружи у него совсем другой номер. ⏺Network namespace: отдельный сетевой стек. Свои интерфейсы, свои маршруты, свои правила iptables. Именно поэтому контейнер имеет свой eth0 независимо от хоста. ⏺Mount namespace: отдельное дерево файловой системы. Монтирования внутри не видны снаружи. ⏺UTS namespace: отдельный hostname. Контейнер может иметь своё имя хоста не меняя хостовое. ⏺User namespace: маппинг UID/GID. Root внутри контейнера это непривилегированный пользователь снаружи. Смотрим namespace процесса

ls -la /proc/<PID>/ns/
lsns -p <PID>

lsns покажет все namespace к которым принадлежит процесс и сколько процессов их разделяют. Создаём изолированное окружение вручную Запускаем shell в новых namespace без Docker:

unshare --pid --net --mount --fork bash

Процесс получает изолированный PID, сеть и файловую систему. Проверяем:

ps aux
ip a

Видим только свои процессы и пустой сетевой стек. nsenter: заходим в namespace существующего процесса

nsenter -t <PID> --net --pid bash