Записки IT специалиста

X-Border - товары из США и Европы. Комиссия 0% Ежедневно мы выкупаем в интернет-магазинах США и возим в РФ более 100 заказов, таких брендов как: Nike, Adidas, Dickies, Lego, Uniqlo и многих других... 💰 Экономьте до 80% на покупках в США. Как это работает? ✅ Присылайте ссылку на любой товар из любого магазина в США в наш telegram-бот; ✅ Мы расчитываем стоимость товара + стоимость доставки в РФ; ✅ Вы оплачиваете удобным для вас способом и ожидаете свой заказ – срок доставки от 14 дней! Подписывайтесь на наш канал 📱 t.me/+BeNt89uVO2I2Njhi и покупайте оригинальную одежду, обувь, аксессуары и многое другое с удовольствием! Узнать больше #реклама О рекламодателе

ACME-клиент в Mikrotik Еще одно нововведение в выпуске RouterOS 7.22 тесно связанное с предыдущим - Reverse Proxy – теперь для получения сертификатов можно использовать полноценный ACME-клиент с поддержкой не только Let’s Encrypt, но и любых CA работающих по этому протоколу. До этого сертификат Let’s Encrypt можно было получить командой:

/certificate enable-ssl-certificate dns-name=...

Которая имела ряд особенностей: 🔹Только один сертификат 🔹Только один домен в сертификате 🔹Сертификат автоматически привязывался к службе www-ssl Теперь многие из этих ограничений сняты и поддерживаются: 🔹Множество ACME-клиентов 🔹 Несколько доменов в сертификате 🔹 Сертификат не привязывается к службам по умолчанию Для его использования перейдите в System – Сertificates и нажмите Add ACME, откроется окно настройки ACME-клиента где вам потребуется заполнить поля: ▫️ Name - имя клиента ACME, укажите понятное имя, например, наименование домена или проекта, оно же будет использоваться в качестве имени сертификата. ▫️ Directory URL - URL ACME сервера (для Let's Encrypt: https://acme-v02.api.letsencrypt.org/directory) ▫️ Domain - доменное имя для сертификата, можно указать несколько, через запятую. ▫️ Поля EAB KID и EAB Key - параметры для External Account Binding (опционально, нужны для некоторых ACME провайдеров, преимущественно коммерческих). В терминале создать ACME-клиент можно следующим образом:

/certificate add-acme \
    name=my_site \
    directory-url=https://acme-v02.api.letsencrypt.org/directory \
    domain-names=example.com,www.example.com

Сразу же после создания ACME-клиент попробует получить сертификат, а потом будет заниматься его продлением, ничего руками делать не надо. Для назначения сертификата службе выполните команду:

/ip service set reverse-proxy certificate=my_site

В данном случае мы назначили его службе reverse-proxy, также просто можете использовать его везде, где есть возможность указать сертификат явно. Например:

/interface sstp-server server set certificate=my_site

Для работы ACME-клиента вам по-прежнему потребуется работа службы www и открытый порт 80 TCP, что вызывает у многих коллег обоснованные опасения. Поэтому рекомендуем ознакомиться с вариантами ограничения доступа к веб-интерфейсу, описанные в нашей статье (там же подробно описан старый метод получения сертификата): ✅ Работаем с сертификатами Let's Encrypt на роутерах Mikrotik (RouterOS 7) Или принять дополнительные меры по защите: ✅ Настраиваем защиту от атак BruteForce на роутерах Mikrotik

Какие задачи должна решать современная платформа для БД? ✅держать стабильный отклик ✅не раздувать лицензии и число серверов ✅быть готовой к новым возможностям современных СУБД, например, SQL Server 2025 ✅упрощать безопасность, управление и масштабирование Если проседаете хотя бы по одному пункту, нужна модернизация, иначе рискуете раздуть бюджет и потерять в производительности. Подготовили практический гид по модернизации и подбору серверной платформы для СУБД. Узнать больше #реклама 16+ О рекламодателе

Reverse Proxy в Mikrotik Количество веб-сервисов, к которым необходим внешний доступ растет даже в небольших сетях, особенно с применением контейнеров, для которых обратный прокси становится необходимым элементом инфраструктуры. Обычно задача решалась установкой Caddy/NGINX на отдельном сетевом узле или контейнере и пробросу на него веб-портов. Однако это дополнительный элемент инфраструктуры, который надо где-то размещать и отдельная точка отказа. Кроме того, Mikrotik серьезно взялся за контейнеризацию и поэтому функция обратного прокси напрашивалась сама собой, что и было реализовано в обновлении RouterOS 7.22. Данная возможность располагается в IP - Reverse Proxy и для создания нового проксирования вам нужно заполнить поля: ▫️ SNI – полное доменное имя (FQDN) сервиса, которое должно разрешаться в IP-адрес роутера ▫️ IP Address – внутренний IP-адрес сервиса ▫️ Port – внутренний порт сервиса ▫️ Сertificate – сертификат сервиса, который мы должны выбрать из установленных на устройство сертификатов. 👉 Если поле Сertificate не заполнено, то будет использоваться сертификат назначенный службе reverse-proxy в меню IP – Service. 👆 Также начиная с ROS 7.22 появился полноценный ACME-клиент, который упрощает получение и управление сертификатами. ❗️Обратите внимание, что служба reverse-proxy конфликтует с www-ssl и вам нужно либо отключить последнюю, либо поменять используемый ей порт. В терминале для добавления прокси используйте команды:

/ip reverse-proxy
add sni=service1.example.com ip-address=192.168.1.100 port=8080 certificate=cert1
add sni=service2.example.com ip-address=192.168.1.101 port=3000 certificate=cert2

Для роутеров архитектуры ARM, ARM64 и x86 поддерживается протокол HTTP/2. Однако явных настроек протоколов и шифров нет. Как нет и никаких дополнительных опций. По сути, перед нами базовый Reverse Proxy с ограниченными возможностями, но в большинстве случаев и сценариев типичных для небольших сетей этого более чем достаточно.

2ГИС — это не просто сервис о городах, а самобытная культура создания продуктов: от бриф-интенсивов до постов в «Доставили». В новой статье рассказали, как всё устроено внутри: как рождаются идеи и как планируем, как доставляем фичи, как работаем вместе и как растём. Читайте на Хабре Другие инженерные инсайты от 2ГИС → в Telegram-канале RnD

Неочевидное - невероятное Работая с определенным оборудованием накапливается опыт и определённые практики. Некоторые действуют на подсознательном уровне. Так в Mikrotik если мы что-то изменили - оно становится синим. Но не всегда и не везде. Откроем брандмауэр и создадим там правило пустышку, ну, скажем, такое.

  0    chain=forward action=accept log=no log-prefix="" 

Теперь откроем его в Winboх и полазим на закладке Extra, ничего не трогаем, просто смотрим. Как видим ничего не посинело, спокойно уходим и жмем OK. Но не тут-то было, вывод правил в терминал покажет нам:

 0    chain=forward action=accept psd=21,3s,3,1 limit=1,5:packet dst-limit=1,5,dst-address/1m40s time=0s-1d,sun,mon,tue,wed,thu,fri,sat log=no log-prefix="" 

👀 Внезапно! 👉 Поэтому всегда контролируйте через экспорт конфигурации внесенные изменения, особенно если вас занесло в такие места RouterOS, где вы еще не были, даже если заходили вы просто посмотреть.

Побережье Египта — ваш путь к солнцу и приключениям Получите незабываемые эмоции ❤️ Исследуйте подводные пещеры, встречайте экзотических рыб, покоряйте волны. Кайтсерфинг, дайвинг, снорклинг в Египте — все ваши мечты об активном отдыхе. Водные приключения Красного моря ждут вас! Узнать больше #реклама travel.yandex.ru О рекламодателе

Официальный выход Ubuntu 26.04 В четверг, 23 апреля 2026 года был официально выпущен релиз Ubuntu 26.04, о самой системе мы уже недавно писали (https://t.me/interface31/5994) и к уже опубликованному особо добавить нечего. Основное нововведение – это полный переход на Wayland и отказ от X11 в головном дистрибутиве. Также на Wayland перешли и такие популярные выпуски как Kubuntu и Ubuntu Budgie, но в них возможность сеанса X11 можно вернуть вручную, необходимые пакеты остались в репозитории, хотя более не поддерживаются. В общем и целом все уверенно идет к тому, что X11 в течении нескольких следующих лет полностью сдаст свои позиции в ведущих средах рабочего стола и останется уделом энтузиастов. И это скорее хорошо, чем плохо, так как X11 архитектурно сильно устарел, а скорость разработки Wayland откровенно не радовала, теперь же есть надежда на то, что ситуация коренным образом изменится. Также в этом выпуске «дружное семейство» дистрибутивов на базе Ubuntu понесло потери. Так Ubuntu MATE вообще не смог сформировать сборки для 26.04 (как и не сформировал их для 25.10), а в конце марта проект покинул лидер и ведущий разработчик. Скорее всего на Ubuntu MATE, как и на среде MATE вообще можно ставить жирный крест, проект находится в стагнации с 2024 года, и он не интересен крупным игрокам, которые могли бы вдохнуть в проект новую жизнь. Более интересна другая сборка - Ubuntu Unity, которая все-таки выпустила релиз 26.04, но он не получил статуса LTS. А интересен этот проект тем, что основной разработчик проекта – индийский студент Rudra Saraswat, который оставил проект по причине поступления в университет. В 2021 году, когда он только начинал работу над Unity ему было 12 лет, а уже в 2022 Ubuntu Unity вошел в число официальных редакций. Сегодня в проекте остался только модератор, но тем не менее сборка 26.04 была сформирована на базе Unity 7.7 от декабря 2022 года. Несмотря на это будущее проекта также туманно, так как не видно желающий подхватить проект, в то время как основной разработчик теперь имеет иные интересы.

Фулфилмент для всех каналов продаж Инструменты для хранения, обработки и доставки ваших товаров покупателям Получить предложение #реклама partner.market.yandex.ru О рекламодателе

Великое вымирание видов Каждая наша публикация на тему ИИ всегда вызывает комментарии вида, что тем самым мы просто роем себе могилу и сужаем «кормовую базу», ведь если клиент может все сделать сам при помощи ИИ, то зачем ему нанимать специалиста. Другие сетуют, что, заменив младшую ступень специалистов, так называемых «джунов» ИИ уничтожает рост квалифицированных кадров, ибо откуда тогда возьмутся «мидлы» и «сеньоры»? Однако ничего принципиального нового не происходит, идет планомерное изменение технического уклада, которые оставит за бортом одни профессии, изменит другие и создаст третьи. Все это уже было в человеческой истории, те же луддиты не на пустом месте возникли, но ничего, не вымерло человечество, как-то адаптировалось. Чтобы не ходить далеко давайте вернемся в еще совсем недавнее прошлое, была такая профессия как чертежник. Его задачей было перечерчивать рабочие чертежи, потому как чертежей надо было много, а инженеры заниматься такой рутиной не хотели. Инженер в процессе разработки или проектирования создавал чертеж, который потом те самые чертежники старательно дублировали, создавали дополнительные проекции, разрезы и все такое прочее. Была ли эта работа творческой? Нет. Создавали ли чертежники что-то новое? Снова нет, их работа – повседневная рутина. А потом появились CAD, которые сами, без посторонней помощи могли создать все нужные чертежи и распечатать их в нужном количестве. Чертежники как вид перестали существовать, просто за ненадобностью. Но инженеры как были, так и остались, им даже лучше стало, не надо проверять за чертежниками, потому что CAD делает все точно и не ошибается. Теперь вернемся к нашим баранам, в области написания кода буквами ИИ уверенно опережает человека и не «на полкорпуса», а со значительным отрывом. В системном администрировании скоро тоже наступит перелом от повсеместного внедрения ИИ агентов. Да, в нынешнем виде агенты косячат, местами фатально, но давайте будем честны – люди косячат не реже, а даже чаще, с теми же самыми фатальными последствиями. Но ИИ-агент, в отличие от человека, никогда не будет лениться сделать дополнительные проверки, резервные копии и все такое прочее, на что живой коллега вполне себе может забить, мол не очкуй, сто раз так делал. Но если ИИ плотно займет позиции «джунов», откуда тогда браться более квалифицированным специалистам? Честно? Откуда они до сих пор брались, оттуда и продолжат. Это в идеальной вселенной у нас есть «дорога из желтого кирпича» - джун, мидл, сеньор, тимлид. В реально жизни все немного иначе. Для примера возьмем спортивную секцию в спальном районе. Туда ходит много детей, но сколько из них достигнут реальных результатов? Станут лауреатами хотя бы на уровне города? Тут все тоже самое, большинство джунов – это пожизненные джуны, выше они никогда не стремятся и не прыгнут, по множеству самых разных причин. Начиная от способностей и заканчивая тем, что тут и так неплохо кормят. Это те же чертежники от программирования, которые не создают никакой новой сущности, а просто переносят в код, на выбранном старшими товарищами языке их решения в четком соответствии с ТЗ и правилами проекта, стандартами языка и т.д. и т.п. Но человек ленив, ошибается, ему надо отдыхать, спать, кушать и т.д. и т.п. Поэтому заменить его на ИИ – это только плюсы и для работодателя, и для старших товарищей. Что задачу джуну ставить, что промт написать. А как же карьерная лестница? Да никак, ее там не было и сейчас нет. В мидлы выбиваются не те, кто хорошо умеет набивать код буквами, а кто мыслит и понимает абстракции, которые находятся выше этих букв. Но это могут не только лишь все и для такого начинающего ИИ будет только помощником, которые реализует его идеи в коде, проверит гипотезы, расскажет, покажет и вообще поможет профессиональному росту. Кто хочет – тот найдет пути и инструменты. А вот кто не хочет, там да, впереди великое вымирание видов. Как раньше вымерли чертежники, так скоро вымрут писатели кода буквами и админы начального уровня,

Яндекс Музыка до 360 дней бесплатно Яндекс Музыка для вас и 3-х ваших близких. Кинопоиск и Яндекс Книги тоже в подписке. Попробуйте бесплатно❤️ Слушать #реклама 18+ music.yandex.ru О рекламодателе

Использование Routing Rules в роутерах Mikrotik На днях один коллега спросил, как эффективнее всего заблокировать доступ к определенным ресурсам через один канал, если неожиданно отключился второй. Вопрос не праздный, потому как при том же переключении на мобильный интернет неконтролируемый выход в сеть быстро способен исчерпать доступный лимит трафика. Можно воспользоваться брандмауэром, но есть способ лучше - Routing Rules. Это правила, используемые при маршрутизации и которые в ряде случаев позволяют решать задачи фильтрации более дешево и эффективно, нежели брандмауэр. Однако следует помнить, что правила в Mangle имеют больший приоритет, так как будут отработаны раньше, чем будет принято решение о маршрутизации. Правила Routing Rules начнут работать уже после того, как решение о маршрутизации принято. Немного напомним, основной задачей маршрутизации является поиск интерфейса выхода среди непосредственно присоединенных сетей (т.е. интерфейсов маршрутизатора). По умолчанию в роутере присутствует основная таблица маршрутизации – main, также мы можем создать сколько угодно пользовательских. В процессе поиска маршрута роутер ищет маршрут с самой широкой маской в своей таблице маршрутизации, если ни одна запись не найдена, то выбирается «нулевой» маршрут, он же основной шлюз сети. Очень многие ошибочно считают, что на этом процесс выбора маршрута завершен, но это не так. Да, мы знаем куда нам надо пройти, но не знаем как. Поэтому маршрутизатор начинает искать интерфейс выхода к найденному нами шлюзу среди непосредственно присоединенных сетей, если таковой находится, то поиск считается завершенным и пакет уходит по назначению. Если же узел назначения недоступен – поиск продолжается. Правило маршрутизации по умолчанию – lookup – поиск. И если маршрут не будет найден в собственной таблице, он будет продолжен в основной. Поэтому, если мы не хотим, чтобы при отказе одного провайдера пакет уходил другому, то нам следует ограничить поиск только собственной таблицей маршрутизации, установив правило lookup-only-in-table. В качестве критериев задаем метку маршрутизации и таблицу маршрутизации. Фактически правило читается так: для всех пакетов с меткой такой-то ограничить поиск таблицей маршрутизации такой-то. Но это далеко не все. В качестве критериев мы можем использовать адреса источника и назначения, а также интерфейс. В действиях нам также доступны drop, который молча блокирует пакет и unreachable, который отравит ICMP-ответ с сообщением о недоступности узла назначения. Это можно использовать для ограничения доступа между сетями или отдельными узлами без использования брандмауэра. Но выбирая тот или иной способ надо всегда руководствоваться здравым смыслом и общей читабельностью правил, так как для других ваших коллег фильтрация на уровне таблиц маршрутизации может оказаться в диковинку.

🚀 Вебинар: Эволюция Avanpost SmartPAM – ИИ, отказоустойчивость и глубокий анализ сессий 28 апреля в 11:00 приглашаем вас на обзорный вебинар, посвящённый масштабному обновлению системы управления привилегированным доступом Avanpost SmartPAM. 🎤 Спикер: Сергей Померанцев, владелец продукта Avanpost SmartPAM На вебинаре вы увидите, как SmartPAM выходит на новый уровень – адаптируется к сложным ИТ-ландшафтам и внедряет интеллектуальные инструменты для усиления безопасности. 🤓 Что вас ждёт на вебинаре: ⭐ Ключевые обновления SmartPAM с демонстрацией! ⭐ Расскажем, как будет развиваться SmartPAM 🤩 ⭐ Обсудим, чем SmartPAM отличается от других PAM-решений и в каких сценариях даёт максимум преимуществ! Пройти регистрацию⛓‍💥

ИИ в современной разработке Вчера была ровно неделя релизу нашего нового сайта и самое время подвести итоги и рассказать о той роли ИИ, которую он взял на себя в этом нелегком процессе. В настоящее время бытует два противоположных мнения. Одно из них, что ИИ — это баловство и ничего серьезного он не напишет, дольше будете за ним разгребать и проверять. Второе, что это прямо серебряная пуля, только успевай загадывать желания. Истина, как всегда, где-то посередине и пока фанатики с обеих сторон ломают копья, практики играют от сильных сторон доступных решений. Мы не раз и не два пытались перевести сайт на новый движок, но все упиралось в то, что если, в общем и целом, все было хорошо, то оставшиеся 20% «мелочи» требовали оставшиеся 80% времени, которые надо было потратить на глубокое погружение в новый движок. Никакой Америки мы тут не открыли, это в любой отрасли так. Но всегда лучше, если у тебя есть наставник, который хотя бы покажет примеры и пояснит почему тут так, а не эдак. И нейросети вполне могут стать таким наставником. При освоении HUGO именно ИИ помог быстро разобраться в устройстве движка, принципах построения проекта, шаблонизации. Я просто закидывал ему насущные задачи, проверял ответы и просил пояснить что именно он сделал и почему. Можно ли это было сделать самому? Можно, но вопрос не в этом, а в затраченном времени. То, что я сделал с ИИ за вечер самостоятельно я бы искал неделю – читал документацию, проверял варианты, отлаживал, искал ответы на форумах и т.д. и т.п. А тут интенсивная и быстрая прокачка прямо по ходу решения актуальных вопросов. Поэтому, если вы действительно настроены на изучение новой темы, то ИИ дают вам возможность быстрого старта за счет концентрации уже накопленных знаний в одном месте. Но можно ли просто не вникать, а заставить ИИ довести проект до конца? Можно, только вот далеко не факт, что вы придете туда, куда хотели, а не заплутаете в трех соснах. В части освоения азов сетки дают отличный старт, но вот после они уже не так уверенны в себе, хотя вам никогда этого не покажут. На сложных вопросах сетка может начать галлюцинировать или ходить по кругу, предлагая набор неработающих решений по кругу. Именно с этим я столкнулся при решении вопроса транслитерации таксономии. ИИ выдавал одно нерабочее решение за другим, потом говорил, что он все понял и выдавал очередную дребедень и так по кругу. Тут помогли знания, которые я почерпнул на первом этапе освоения движка, с его же помощью. Я просто ткнул его носом в кусок кода и спросил – а почему тут так, ведь надо совсем иначе. В ответ получил стандартное – ты абсолютно прав и пояснения, почему это не будет работать. Дальше предлагаю ему поискать в сети эту же проблему и через минуту получаю ссылку на форум с рабочим решением. Проверяю – работает, но у меня не один шаблон и не два. Беру ссылку отдаю ИИ и говорю, вот так работает, давай ка сделай на проекте как надо и очень скоро получаю все необходимые правки. Много ли я написал кода сам? Строки две-три, остальное старалась сетка. Результат – он перед вами. Полгода на перенос проекта с историей более 15 лет, большая часть которого это именно перенос контента, а не работа над сайтом. Да, в любом случае в новом проекте будет все и косяки, и баги, но факт не в этом, а в том, что ИИ позволяет вам сократить путь от задумки до релиза. А не зависнуть надолго в промежуточной стадии. Код написан ИИ? А что в этом плохого? Сетка давно пишет лучше человека, читая ее код я понимаю, что сам бы проигнорировал все эти проверки, обработки исключений и прочее, так как это в «типовом сценарии» маловероятно. Поэтому не стоит чураться ИИ, равно как и превозносить их, это просто современный рабочий инструмент, который способен быстро подсказать, помочь, ввести в курс дела или взять на себя рутину. Но руководите проектом именно вы и вы решаете в какую именно сторону будет грести ИИ и что конкретно он будет делать.

Эпическая стратегия: Восхождение империи Звон сабель, грохот пушек и борьба за господство. Играй онлайн в Яндекс Играх! Узнать больше #реклама 16+ yandex.ru О рекламодателе

Caddy-Docker-Proxy Веб-сервер Caddy крайне популярен не только в виде веб-сервера, но и обратного прокси, благодаря крайне простой настройке, автоматической конфигурации TLS, включая прозрачную интеграцию с Let’s Encrypt. Также Caddy популярен как обратный прокси для Docker, который обычно принято настраивать «классически», например:

grafana.example.com {
    reverse_proxy grafana:3000
}

nextcloud.example.com {
    reverse_proxy nextcloud:8080
}

Но Docker – это в первую очередь динамические среды, контейнеры могут создаваться, удаляться, меняться, особенно в тестовых средах и каждый раз править руками конфигурацию обратного прокси – занятие утомительное. Поэтому был разработан специальный плагин Caddy-Docker-Proxy, который позволяет Caddy работать с метками Docker, автоматически подхватывая конфигурацию, как Traefik. Для этого просто используйте готовый контейнер от разработчика плагина, для этого создайте следующий docker-compose.yaml

services:
  caddy:
    image: lucaslorentz/caddy-docker-proxy:ci-alpine
    ports:
      - 80:80
      - 443:443/tcp
      - 443:443/udp
    environment:
      - CADDY_INGRESS_NETWORKS=caddy
    networks:
      - caddy
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - caddy_data:/data
    restart: unless-stopped

networks:
  caddy:
    external: true

volumes:
  caddy_data: {}

Затем в compose нужного сервиса добавьте:

services:
  my_app:
    image: my_app:latest
    networks:
      - caddy
    labels:
      caddy: my_app.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"

networks:
  caddy:
    external: true

Теперь при запуске контейнера my_app в конфигурацию Caddy будет добавлена секция для обратного проксирования вашего сервиса.

Есть только один правильный способ провести майские тот, что нравится вам. Выбирайте, где отдохнуть, и бронируйте отели, квартиры и загородные дома под себя на Яндекс Путешествиях со скидкой по промокоду MAYSKIE. 😊 Отдохнуть за городом 😊 Скататься в другой город 😊 Умчаться туда, где тепло Забронировать #реклама special.travel.yandex.ru О рекламодателе

Жизнь и необычайные приключения DNS в одной сети Продолжая тему DNS, точнее борьбы с утечкой DNS хотим рассказать о собственном опыте, он во многом частный и субъективный, но во многом помогает понять на что надо обратить внимание и куда смотреть. Начнем со всеми любимых роутеров Mikrotik. Если мы заглянем с настройки DNS, то можем увидеть там, как доступные к редактированию поля, где записаны указанные нами значения вышестоящих серверов, так и недоступные к редактированию значения, которые берутся из настроек DHCP или коммутируемого соединения. Т.е. то, что передал нам провайдер. Они используются как дополнительные DNS, если не отвечают те, которые мы указали явно – в дело идут следующие по списку. Это не хорошо и не плохо, это нормальное поведение DNS-клиента. Далее есть еще одна тонкость, если в настройках DHCP-сервера у вас явно не указана Option 6, она же адрес(а) DNS, то ваш DHCP передаст как собственный адрес (первым), так и все внешние адреса, которые указаны в настройках вышестоящих DNS. Таким образом, если ваш роутер вдруг по какой-то причине перестал отвечать на DNS-запросы они пойдут напрямую внешним серверам. Вот так вы можете легко и непринужденно начать использовать на клиентах совсем не те DNS-сервера, которые предполагали. Но это еще не все. Проанализировав DNS-трафик в сети, мы выяснили, что мобильные устройства на Android эпизодически обращаются к DNS-серверам Google, хотя эти сервера нигде в настройках сети до этого не фигурировали. Скорее всего такое поведение зашито где-то внутри ОС и предполагает использование именно доверенных для нее серверов. Такое поведение можно понять, но с позиции наших целей, а именно защитить DNS-запросы от просмотра третьими лицами – налицо типичная утечка. Но это половина беды. От тех же мобильных устройств и телевизоров были обнаружены DNS-запросы к вообще третьим DNS-серверам, о существовании которых мы ранее не догадывались. Причем это не какие-то левые сервера, а достаточно крупные региональные сервисы или сервисы крупных хостеров, как вероятно зашитые разработчиками приложений в свои разработки. Это тоже не особо страшно и не особо плохо, но в наличии у нас имеется факт, что отдельные приложения могут также игнорировать системные настройки DNS. Вы думаете, что это все? Но нет. Отдельно порадовали два роутера Xiaomi AX3000T, которые продолжили обращаться к внешним серверам, используемыми нами до этого и серверам провайдера. При этом сетевые настройки они получают от DHCP-сервера на Mikrotik, но все настройки, кроме адреса и шлюза тупо игнорируют. В веб-интерфейсе и приложении доступа к этим настройкам также нет. Перезагрузка не помогает и приводит только к замене одного сервера на другой из списка. Есть предположение что DNS-сервера были взяты при первоначальной настройке и добавлены в некоторый конфигурационный файл, который при смене настроек DHCP не обновляется. В данном случае они работают именно как точки доступа и разрешают только свои внутренние запросы. Но все равно, данный факт показывает, что активное сетевое оборудование в вашей сети также может иметь свои собственные взаимоотношения с DNS, что может приводить к утечкам. Пока мы плотно не занялись этим вопросом, то предполагали, что основной риск утечки DNS несут пользователи, которые могут вручную поменять сервера в настройках сетевого подключения. В реальности же это оказалось далеко не так и основной риск исходит от сетевых устройств и сетевых приложений, которые могут игнорировать (и успешно это делают) системные настройки DNS.

Парфюм Attar Moon Blanche STYLAR: брендовая одежда, обувь и аксессуары ✅ Премиальные бренды, которые ты знаешь — без лишних наценок и напрямую от поставщиков. Работаем уже более 5 лет! ⚡ Tom Ford, EA7, Burberry, Premiata, Moncler, Chrome Hearts, Loro Piana, Prada, Brunello Cucinelli, Hugo Boss, LV, Tommy Hilfiger, D&G, Polo Ralph Lauren, Hermes и др. 🚗 Доставка с примеркой по Москве, в другие города России и СНГ — быстро, надёжно и без задержек. 💰 Скидки до -80% в нашем дисконт Telegram-канале. ❤️ Тысячи моделей в наличии, новинки каждый день — без переплат и лишней суеты! Посмотреть каталог #реклама О рекламодателе

psistat – монитор Pressure Stall Information (PSI) в Linux Про метрики Pressure Stall Information мы уже рассказывали в материале про новые возможности Proxmox VE 9. Но это универсальные Linux метрики, которые появились в ядре 4.20 и показывают процент времени, в течении которого процессы ожидают освобождения критичных ресурсов: процессора, памяти, ввода-вывода. 👉 У данных метрик есть две основные категории: 🔹 some — показывает время, когда хотя бы один процесс ожидает освобождения ресурсов 🔹 full — показывает время, когда все активные процессы ожидают освобождения ресурсов Про интерпретацию их значений мы повторяться не будем, все это можно прочитать в заметке по ссылке. Сегодня мы расскажем про инструмент их контроля в реальном времени – psistat. Он написан на python и для его установки вам сначала потребуется pipx:

apt install pipx

Затем:

pipx install psistat

Он установит утилиту в ~/.local/bin и если вы хотите, чтобы утилита была доступна без указания полного пути, выполните:

pipx ensurepath

После чего выйдите и снова войдите в систему. Затем просто запустите:

psistat

Вы увидите интерактивный текстовый интерфейс как на скриншоте, метрики со средними значениями в 60 и 300 секунд предоставляются ядром и доступны сразу, метрики за 1, 3 и 10 секунд рассчитываются утилитой на основе накопленных данных и появляются не сразу. Управление происходит при помощи клавиш: ▫️ t – задает порог превышения метрики, по умолчанию 5% ▫️ i – интервал превышения, по умолчанию 10 сек Теперь любое событие, значение которого превысит 5% за 10 секунд появится в таблице ниже. Остальные клавиши управляют отображением этой таблицы: ▫️ b – ограничивает ее размером экрана, остальные события вытесняются, иначе доступен полный список ▫️ d – дамп, прерывает интерактивный режим и выводит список событий в консоль, чтобы вы могли его скопировать, после чего переходит в режим нормальной работы. Инструмент крайне интересный и полезный, потому что сегодня мало интерактивных инструментов для Pressure Stall Information, в то время как это один из важнейших показателей при анализе проблем с производительностью.