Записки IT специалиста

Пишут, что это скриншот с сервера Аэрофлота, надпись в нижнем правом углу прекрасна. Также не удивлюсь, если обновления на него последний раз ставили во времена Царя Гороха.

Конь, просто конь… Троянский Весной я рассказывал про PowerLine адаптеры, которые мой товарищ купил для того, чтобы быстро провести интернет в гараж - https://t.me/interface31/4121 А сегодня он порадовал меня веселой картинкой. Адаптеры б/у от МГТС, куплены на Озоне. В веб-интерфейс он зашел случайно. Сканировал сеть, увидел, что таковой на этих железках есть ну и любопытно стало. На одной из страниц осталась активная настройка подключения к провайдерскому ACS (сервер автоконфигурации и диагностики). Т.е. его устройство фактически все это время находилось под потенциальным чужим управлением. В данном случае это не сильно страшно, но факт остается фактом. Как говорится – осадочек остался. Также напомним про еще одну недавнюю публикацию, где коллега провел исследование роутеров с «вечным ВПН» на маркетплейсах - https://t.me/interface31/4440 ❗️ Из всего вышеизложенного можно (и нужно) сделать один вывод – любое сетевое устройство которое попало к вам в распечатанной коробке следует считать потенциально троянским, пока не будет доказано обратное (желательно полным сбросом и перепрошивкой).

💀 Как работают процессы в Linux и что такое процессы-зомби? 👉 На открытом уроке «Процессы в Linux: от демонов до зомби» 29 июля в 20:00 МСК мы разберём жизненный цикл процессов, отличия демонов от обычных процессов, а также расскажем о зомби и сиротах. Вы узнаете, как управлять процессами и диагностировать их с помощью мощных утилит. 💪 Понимание того, как работают процессы в Linux, — это ключевая компетенция для системного администратора. Научитесь отслеживать состояние процессов, корректно завершать или перезапускать их, а также избегать накопления зомби в системе. 🎁 Присоединяйтесь к вебинару и получите специальное предложение на курс «Administrator Linux. Professional». 👉 Для участия в вебинаре зарегистрируйтесь https://otus.pw/mvNC/?erid=2W5zFJLxX2g Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

​​Роутеры бывают разные В комментариях подписчик задал вопрос – кто что использует сейчас в качестве роутера, чтобы удовлетворял всем современным требованиям к трубопроводам, КВН и всему такому прочему. Вопрос интересный, поэтому решили сделать отдельную заметку. Скажем сразу – это не про домашний роутер простого человека. Мы будем исходить из того, что рассматриваем ситуацию, когда владелец всего этого добра знает, понимает и умеет, хотя бы на базовом уровне. Сразу скажем – одного роутера сегодня вам будет мало. Потому что ситуация меняется с каждым днем и то, что еще вчера работало, сегодня работать перестает. Трубы засоряются, команды КВН внезапно испытывают глубокий творческий кризис и т.д. и т.п. Это все требует определенной гибкости и вариативности, которую роутер не всегда может предоставить или предоставить не в полном объеме, или вообще иметь собственное представление о прекрасном, которое не совсем сочетается с вашим. Следующий момент – роутер достаточно ограничен по ресурсам и не всегда может полноценно тянуть заданную вами нагрузку, даже если он поддерживает нужные вам технологии и протоколы. Поэтому мы приходим к тому, что кроме роутера вам понадобится отдельный хост для работы вспомогательных сетевых служб, который позволяет быстро поднять на нем все, что вам потребуется без оглядки на поддержку, совместимость, ресурсы и т.д. и т.п. Это может быть как «малинка» / «бананка» / «репка» или что-то более серьезное на x86. Из нового – это компактные неттопы на N100, которые можно купить от 15 000 руб., из б/у можно посмотреть на Авито неттопы на J1900 / N 3xxx, которые можно купить в хорошем состоянии где-то за 5000 руб. А если у меня есть NAS / Медиасервер / Домашняя лаба (нужное подчеркнуть). Нет и еще раз нет. Сетевые службы являются критически важными и поэтому должны быть доступны 24/7 вне зависимости от других сервисов. Поэтому отдельная железка – самое то. Сегодня на нее, как минимум, логично возложить функции VPN / Прокси и локального кеширующего DNS. А что же роутер? А роутеру оставим его основную функцию – маршрутизацию. Что касается самого роутера, то мы видим тут три основных варианта: 🔹 Mikrotik – умеет все, что нужно домашнему роутеру и даже намного больше. Но требует определенных знаний и умений. В наше время еще и дороговат, также потребует стороннего решения для Wi-Fi, если вы не садомазохист. 🔹 Keenetic – достаточно мощная и продвинутая платформа с низким порогом входа и дружелюбным интерфейсом. Может многое и не требует специфичных знаний для настройки. Минусы – достаточно дорого. Плюсы – хороший Wi-Fi из коробки. 🔹 OpenWRT – привет красноглазие. Порог входа не ниже, чем на Mikrotik, а то еще и побольше. Потому как надо еще уметь прошивать, заливать, разблокировать и прочую аппаратно-программную магию. Но возможности там практически как у нормального Linux и роутер можно взять относительно недорогой. По Wi-Fi – как повезет, но скорее да, чем нет. А так вообще вариантов достаточно много, если вы вынесете все основные сетевые сервисы на дополнительный ПК, то можно вообще взять обычный роутер в стоке и пробросить нужные порты куда надо. Еще есть варианты с перешивкой под Keenetic некоторых недорогих моделей роутеров, но там прошивкой занимается один энтузиаст и вы будете полностью зависеть от него, как в вопросах доверия, так и в ситуации «я устал, я ухожу». Но в целом общая концепция следующая – роутер, как роутер, т.е. занимается маршрутизацией, предоставляет функции межсетевого экрана и все такое прочее. Отдельный хост – как сосредоточие сетевых служб: VPN, Proxy, DNS и все что может понадобиться еще. Там стоит классический Linux и возможности ограничены только вашей фантазией и наличием пакетов.

Серверы и СХД Aquarius: как выбрать? Вебинар 30 июля Нужна стабильная и отказоустойчивая ИТ-инфраструктура? ✅ Узнайте, как ее построить на российском оборудовании Aquarius! Обзор всего портфеля: серверы, СХД, коммутаторы, ноутбуки. Сравнение моделей, функциональные особенности, сценарии применения. 💻 Расскажем, как подобрать оптимальное решение под задачи бизнеса. Ответим на ваши вопросы в прямом эфире. 📅 Ждем вас на открытом вебинаре 30 июля в 11:00 (мск). Участие бесплатное, необходима предварительная регистрация! Зарегистрироваться #реклама 16+ dcs.peremena.ru О рекламодателе

Про бессмысленные и беспощадные Вчера товарищ получил письмо счастья от известной конторы на три буквы. Все как всегда: ▫️ В соответствии … уведомляем, что на основании решения суда/уполномоченного федерального органа исполнительной власти (Кромской районный суд - Орловская область) от 03.10.2014 № б/н указатель страницы сайта в сети … включен(ы) в «Единый реестр доменных имен … содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи XXXXXXX-РИ Сайт товарища – тематический форум, когда-то был ого-го, но последние несколько лет там лениво тусуются буквально пять человек из старожилов, которые обсуждают отвлеченные темы в флудилке. В уведомлении стояла ссылка на сообщение форума, которое вызвало еще большее недоумение. Сообщение датировано началом 2014 года в теме посвященной обсуждению текущей политической ситуации и содержит короткую цитату и ссылку на СМИ, откуда была цитата. Ссылка живая, страница на сайте СМИ до сих пор существует и доступна. Что там могло не понравиться Кромскому районному суду – загадка. Причем не понравилось это ему более 10 лет назад, но боты на форум пришли только третьего дня. А дальше… А что дальше? Обычный владелец сайта получить доступ к реестровой записи просто так не может, не положено. Он вообще может только проверить свой домен или адрес на нахождение в реестре. Но его пока там нет, потому что у владельца ресурса есть сутки добровольно убрать запрещенную информацию. По сути вариантов тут нет, согласен, не согласен – все равно убирай. Потому как за сутки что-либо сделать невозможно, а если вы информацию не убрали, то указанный адрес будет включен в реестр и отправлен на оборудование провайдерам. А там кто во что горазд. Кто полностью сайт заблокирует, а кто и тупо IP-адрес в блок поставит, со всеми соседями. Нет, оно можно чего-то там разбираться и доказывать, возможно даже и доказать и разблокировать, только за это время будут потеряны позиции в поиске, трафик, индексация, монетизация. В общем – овчинка выделки не стоит. А далее подумал-подумал товарищ и перевел весь форум в закрытый режим, что читать могут только зарегистрированные, ибо кто его знает, чего там еще за все время понаписали и где это написанное может числиться. По сути, сегодня все ресурсы с постмодерируемым пользовательским контентом (читай – форумы) – это бомба замедленного действия, потому как написанное там может потом выйти владельцу боком, как организатору распространения информации. Ну и сам подход тоже «радует», тут кто-то что-то решил и признал, что читать вот это не надо, так что будьте добры убрать. Почему? Зачем? На каком основании признали? А оно вам надо? Меньше знаешь – крепче спишь. В общем мы снова возвращаемся в те времена, когда нашел в сети интересную страничку – сохрани ее. Ибо завтра ее уже может не быть и никакой КВН не поможет, потому что ее автор сам уберет, получив очередное письмо счастья.

Узнайте, как защитить бизнес от простоев с помощью готового решения 29 июля в 11:00 мск beeline cloud проводит бесплатный вебинар «Как обеспечить непрерывность бизнеса и избежать миллионных убытков». В программе: — Цена простоя ИТ: как бизнес теряет миллионы за часы — DR и MetroCluster: как работают и чем различаются — Архитектура Cloud Compute MetroCluster от beeline cloud — Преимущества, возможности, технические детали — Ответы на вопросы участников Не упустите шанс узнать, как минимизировать риски и гарантировать непрерывность бизнес-критичных сервисов. Регистрируйтесь тут #реклама О рекламодателе

Некоторые мысли по поводу организации DNS-трафика в сетях с Mikrotik Последние нововведения буквально уже прямым текстом говорят, что незащищенный DNS-трафик становится небезопасен и может потенциально принести множество проблем на ровном месте. Сегодня мы рассмотрим один из возможных вариантов в сетях с использованием в качестве шлюза роутеров Mikrotik. Ой, да что там думать, скажет иной читатель, включаем DoH и понеслась! Но не все так просто. При включении DoH перестают работать записи типа FWD, что во многих случаях неприемлемо, поэтому нужно искать другое решение. Завернуть DNS-запросы в трубу… Ну такое себе решение, скажем честно. Труба в наше время может отвалиться в любой момент, и тогда вся ваша сеть вообще окажется без DNS. Поэтому работать надо через основное подключение, но исключительно по защищенным протоколам. Сегодня в домашней сети был опробован данный вариант и результат его можно считать отличным. Мы не будем вдаваться в технические подробности, сделаем это позже, в других заметках, а обрисуем общую канву, тем более что вариативность здесь достаточная. Для разрешения запросов мы подняли дополнительный кеширующий DNS-сервер Unbound, но вы можете использовать любое иное решение, главное, чтобы оно умело использовать в качестве апстрима сервера DoT/DoH. Как вы уже должны были понять, в качестве вышестоящего сервера для Unbound мы использовали один из публичных серверов по протоколу DoT. Почему DoT, а не DoH? DoT проще в настройке и позволяет четко определять такой трафик, что полезно если вы используете сложные правила фильтрации. С другой стороны, это делает видимым такой трафик для провайдера, но доступа к нему он все равно не имеет. Смысла прятать факт наличия DNS-трафика в зашифрованном виде особо нет, но если вы хотите скрыть такую активность, то лучше использовать DoH. В общем – на ваш выбор. После чего в качестве используемого DNS-сервера для Mikrotik указываем адрес нашего Unbound. Для клиентов сети основным DNS как был Mikrotik, так и остался, это нужно для того, чтобы работали FWD записи и разные другие правила. Этот режим показан на диаграмме зелеными стрелочками. DNS-запрос приходит на Mikrotik и если его не нужно перенаправлять на какой-либо специфический сервер, то он уходит на Unbound, а с него по DoT/DoH на выбранный вышестоящий DNS-сервер. А что будет, если клиент явно укажет на своем устройстве другие DNS-сервера? Все просто, решаем при помощи правила на Mikrotik:

/ip firewall nat
add action=dst-nat chain=dstnat comment="SAFE DNS" dst-address=!192.168.1.0/24 dst-port=53 protocol=udp to-addresses=192.168.1.53

Где 192.168.1.0/24 – адрес вашей внутренней сети, а 192.168.1.53 – адрес сервера Unbound. После чего ваш роутер будет перехватывать все транзитные DNS-запросы и отправлять их на ваш Unbound-сервер. Также для контроля возможной утечки DNS советуем вам на первых порах добавить в брандмауэр, на самый верх, еще два правила:

/ip firewall filter
add action=passthrough chain=output dst-address=!192.168.3.0/24 dst-port=53 log=yes log-prefix=LEAK_DNS protocol=udp
add action=passthrough chain=forward dst-address=!192.168.3.0/24 dst-port=53 log=yes log-prefix=LEAK_DNS protocol=udp

Если вдруг счетчики по этим правилам показывают значения отличные от нуля, то переходим в лог и ищем записи с префиксом LEAK_DNS по которым смотрим кто и куда пытался пойти в обход нашей схемы. Сразу дадим одну наколку, если у вас используются коммутируемые подключения или вы получаете настройки по DHCP – обязательно снимите галочку Use Peer DNS. Данная схема не претендует на полноту и оригинальность, но поставленную задачу она полностью решила – открытые DNS запросы более за пределы локальной сети не уходят.

Как ИИ сэкономил бюджет и нервы на документообороте? Раньше в компании "СИСТЭМ ЭЛЕКТРИК" тратили кучу времени на обработку входящих писем, первичных и договорных документов :( А потом у них появился ИИ от Directum и нагрузка сократилась до 7,5 раз! Что было дальше? На вебинаре представитель "СИСТЭМ ЭЛЕКТРИК" и эксперт Directum обсудили: ✅ ИИ-инструменты Directum для обработки информации в документообороте крупных компаний; ✅ способы автоматизации рутины с помощью генеративного ИИ в Directum Lite для среднего и малого бизнеса; ✅ реальные кейсы и пошаговую инструкцию внедрения ИИ в бизнес-процессы; ✅ результаты применения умной техноллогии в управлении документооборотом. Вебинар полезен: делопроизводителям, специалистам по работе с договорами, руководителям отделов и компаний, собственникам бизнеса, ИТ-специалистам. Смотреть #реклама 16+ directum.ru О рекламодателе

​​Какие данные хранит сервер 1С:Предприятия В комментариях к нашей прошлой заметке о сервере 1С был задан вопрос – а как его бекапить и что именно. Поэтому давайте разберемся, какие данные хранятся сервере 1С и насколько критична их потеря. Сейчас мы будем говорить только о сервере 1С и не будем касаться сервера СУБД, даже если они расположены на одной машине. Итак, какие данные сервер 1С хранит на диске и где? Для хранения данных используется специальная рабочая директория кластера. В Windows она располагается в C:\Program Files\1cv8\srvinfo\reg_1541, в Linux в /home/usr1cv8/.1cv8/1C/1cv8/reg_1541. Обратите внимание, что в имени родительской директории присутствует номер порта, на котором зарегистрирована служба, если вы используете несколько установок сервера 1С:Предприятие с нестандартными портами, то имя каталога будет иное. Начнем с сеансовых данных, которые хранятся в директории с именем snccntx + уникальный идентификатор. Что из себя представляют сеансовые данные? Это все данные, введенные пользователем в формы и предназначенные для передачи на сервер, прикрепленные к базе файлы при их загрузке и получении и иные объекты Временного хранилища, а также результаты отчетов, сформированных на сервере перед их передачей клиенту. В долгосрочной перспективе сеансовые данные никому не нужны, так как они автоматически очищаются после завершения сеанса пользователя. В той же директории можно найти папки с именами, состоящими из уникальных идентификаторов, по одной на каждую информационную базу. Там находятся каталоги 1Cv8FTxt и 1Cv8Log. Первый содержит индекс полнотекстового поиска, который позволяет искать по части введенной строки. Функция полезная, но сам по себе индекс не представляет никакой ценности, его всегда можно построить заново, более того постоянным обновлением и перестроением индекса занимаются регламентные задания. Второй каталог содержит журнал регистрации, в который, в зависимости от настроек, пишутся все действия пользователя и с его помощью всегда можно отследить кто создал или изменил тот или иной документ и когда он это сделал. Пожалуй, это единственная информация на сервере 1С:Предприятия, которую имеет смысл бекапить, но снова только в том случае если журнал регистрации вам реально нужен и вы им реально пользуетесь. И вам реально нужна его история. Что еще? В рабочем каталоге кластера вы также можете найти профайлы, которые содержат список баз и настройки кластера и серверов. В теории их тоже можно было бы копировать. На практике это лишено особого смысла, разве что список баз, если у вас их реально много. Что касается настроек, то для платформы уровня ПРОФ их порезали до крайне неприличного уровня и настраивать там решительно нечего. В случае если вы используете платформу КОРП, то профайлы таки имеет смысл копировать, но пользователи КОРП и так должны все это знать. Таким образом даже полная потеря сервера 1С:Предприятие не приведет ни к каким фатальным последствиям, так как все данные необходимые для работы информационной базы хранятся на сервере СУБД и резервной копии БД будет вполне достаточно для восстановления.

С праздником, коллеги!!! 🍺🍺🍺

ЦКП в IT: зачем вам понимать, какой у вас на самом деле продукт Заняты весь день, а результата ноль? Почему IT-специалисты часто путают активность с реальной ценностью? Ответ — в нашей статье. #реклама О рекламодателе

​​Клиент-серверная 1С. Структура Вопросы и отзывы показывают, что многие коллеги слабо представляют себе устройство клиент-серверной 1С и взаимодействие между ее компонентами. Начнем с сервера, он так и называется Сервер 1С:Предприятие и может работать как под Windows, так и в Linux. Рабочая инсталляция сервера называется Кластер серверов 1С, даже если экземпляр сервера один. Впоследствии, для увеличения производительности, мы можем добавлять в кластер дополнительные рабочие сервера, и менеджер кластера будет распределять между ними нагрузку. Также мы можем выносить на отдельные рабочие сервера дополнительные функции, например, сервер лицензирования. Вся информация, с которой работает пользователь, а также код конфигурации (прикладного решения) хранятся в СУБД, в качестве которых чаще всего используется MS SQL или PostgreSQL. Сразу хочется обратить внимание на то, что с СУБД взаимодействует исключительно сервер, клиенты доступа к серверу СУБД не имеют и напрямую в БД не обращаются. Более того, это прямо запрещено лицензионным соглашением 1С. Вся информация из одной информационной базы 1С, включая конфигурацию, загруженные в нее отчеты, обработки и расширения хранится в одной базе данных СУБД. Т.е. вы можете выполнять полноценное копирование средствами СУБД и затем восстанавливать ИБ подобным образом. Однако если вы лицензируете СУБД по количеству пользователей, то вам потребуется количество лицензий по числу реальных клиентских подключений. Теперь перейдем к клиентам. Толстый клиент является устаревшим и современными конфигурациями не используется. Его неприятной особенностью является то, что он все данные обрабатывает самостоятельно и сервер в этом случае будет для него просто посредником, который извлекает данные из СУБД, передает их клиенту и получив назад снова помещает в БД. Для работы в таком режиме требуются широкие каналы и мощная рабочая станция, на которой запущен толстый клиент. Сейчас в режиме толстого клиента работает только конфигуратор, но в эксплуатации еще могут быть устаревшие конфигурации на обычных формах, которые не умеют работать в ином режиме. Основной вариант работы для современных конфигураций – это тонкий клиент. В этом случае задачи по извлечению и обработке данных ложатся на сервер, а клиент принимает только ввод пользователя и показывает ему результаты вычислений. В дополнение к этому тонкий клиент самостоятельно обрабатывает введенные данные и выполняет простейшие вычисления, ради которых нет смысла обращаться к серверу. Например, пользователь изменил колонку цена, после чего тонкий клиент сам пересчитает колонку сумма. Но любые действия по получению данных из СУБД и помещению их туда выполняет сервер, равно как и все основные тяжелые вычисления. Благодаря этому тонкий клиент отлично работает даже на медленных каналах, включая мобильный интернет. Он может подключаться к кластеру серверов как непосредственно, так и через веб-сервер. В серверном режиме веб-сервер просто проксирует запросы от тонкого клиента к кластеру серверов и непосредственных вычислений не производит. Такой режим удобен для публикации баз наружу, в этом случае достаточно одного порта, который можно защитить SSL сертификатом и дополнительной парольной защитой. Ну и наконец веб-клиент, работает в браузере и, по сути, мало чем отличается от тонкого клиента. Но в этом случае клиентом кластера серверов становится модуль веб-сервера и вся клиентская нагрузка ложиться на него, но она как правило невелика и особых проблем не составляет. Единственной проблемой может стать выделение оперативной памяти, потому что после отключения веб-клиента его сеанс, а следовательно, и выделенная ему память, сохраняются в течении 20 минут. Также веб-клиенту присущ ряд ограничений, а также у него своя схема лицензирования, поэтому использовать веб-клиент следует только тогда, когда использовать тонкий клиент невозможно. Поэтому, проектируя соверменные схемы работы с 1С всегда исходите из использования тонкого клиента.

Как совмещать похудение и работу в ИТ: мой опыт минус 18 кг В ИТ-среде часто звучит: «Нет времени на тренировки», «Сложно правильно питаться», «Сидячий образ жизни неизбежен». Я тоже так думал, пока однажды не осознал, что это просто отговорки. Начал с малого — больше ходить, пить воду, осознанно подходить к питанию. Без фанатизма и жестких ограничений. За первые два месяца ушло 8 кг. Через полгода я весил на 18 кг меньше. Скоро уже 2 года как держу вес. Главное открытие — похудение не обязательно должно сопровождаться стрессом и мучениями. Это может быть просто и комфортно, даже если вы круглые сутки за компьютером. Если вы хотите узнать, как худеть без стресса и вписывать правильные привычки в свой плотный график, присоединяйтесь: Иван Лагунцов | Про похудение Реклама. ИП Лагунцов Иван Николаевич. ИНН 772814642678.

Замедляет ли групповая политика загрузку ПК? Представляем перевод статьи TechNet "Is Group Policy Slowing Me Down?" которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей. 👉 Привет всем, Натан Пенн снова обратился к одному из наиболее часто встречающихся вопросов: является ли групповая политика в моей среде замедляющим фактором загрузки и входа в систему? К счастью, если знать, где искать, мы можем быстро получить ответ на этот вопрос. https://interface31.ru/tech_it/2018/12/is-group-policy-slowing-me-down.html

​​Небольшая подборка о том, что можно делать при помощи групповых политик. 🔹 Включаем отображение значков на рабочем столе Windows 10 через групповые политики 🔹 Как через групповые политики включить запрос на перезагрузку после установки обновлений для Windows 10 🔹 Автоматическое отключение локальных учетных записей через GPO 🔹 Усиливаем безопасность учетных данных пользователей при помощи групповых политик 🔹 Отключаем обновление Windows на следующую версию при помощи установки целевого выпуска 🔹 Установка сертификата при помощи групповых политик