​​Попался на днях в руки интересный роутер Mikrotik. Как вы уже поняли, дальше будет тема для настоящих админов 😊 Надо было автопереключение на резервный канал настроить при отвале основного. Ну и по мелочи некоторые вещи, в том числе подключение к vpn.

Устройство было взломано. Я там все изучил. Перечисляю, что было настроено злоумышленниками на роутере.

▪ Добавлен новый пользователь с правами администратора.
▪ Настроен на выполнение скрипт каждые 3 минуты, который обращается в интернете к какому-то серверу, скачивает скрипт и запускает его.
▪ Отключен winbox, включен ssh на нестандартном порту.
▪ Настроено l2tp и pptp подключение к серверу в Германии.
▪ Настроен socks proxy с белым списком ip адресов, которым можно подключаться.
▪ Удалены все правила в firewall.
 
Взломано устройство, судя по всему, уже давно. Адрес для загрузки скрипта из интернета отдает 404, последний логин пользователя был осенью. Тогда же и обновление было поставлено. Судя по всему, после взлома, злоумышленник все настроил и обновил устройство, чтобы другие не закрепились в нем.

Сам микротик напрямую в интернет не смотрел. Были серые ip в разное время от мгтс и yota. Наверно через них в роутер и залезли. А может из локалки. Прошлое этого роутера мне не известно.

Подобные изменения удобно искать через export всех настроек микротика. Удобный функционал. Не надо лазить по настройками и смотреть, где что изменили. Достаточно выгрузить весь конфиг в текстовый файл и проанализировать.

Чтобы с вами такого не случилось, закрывайте доступ к mikrotik максимально строгими списками. Либо через vpn, либо по статическим ip. Микротики из-за их популярности постоянно на прицеле хакеров или тех, кто пользуется их плодами.

#mikrotik

​​На днях в ленте рекомендаций google (очень люблю эту ленту, работает качественно после обучения) увидел анонс любопытного проекта для организации vpn подключений - Amnezia - https://amnezia.org/
Суть его работы следующая:

1️⃣ Ставите себе на Windows или Mac приложение.
2️⃣ Запускаете его и указываете параметры доступа по ssh к любому VPS.
3️⃣ Приложение подключается, настраивает на VPS софт в Docker для запуска OpenVPN, а потом подключается к серверу.
4️⃣ Вы получаете доступ со своего компьютера в интернет через этот VPN.
5️⃣ У вас есть возможность выбрать в клиенте, заворачивать ли весь трафик в VPN или только выбранные сайты.

Тут сразу встают вопросы безопасности. Проект с открытым исходным кодом - https://github.com/amnezia-vpn/desktop-client Там же рядом репозиторий с openvpn сервером и всеми остальными компонентами. Можно посмотреть, как все это работает.

Я попробовал, завелось все с первого раза. Для корректной работы приложения необходимо открыть tcp порты 1194 и 6789 на внешнем фаерволе, если такой присутствует. На самом сервере приложение все сделает само. У меня отлично встало на бесплатную виртуалку в облаке oracle.

Amnezia все запускает в докере, к хосту ничего не монтирует, логи не пишет. При каждом подключении клиент сам генерирует новый ключ и сертификат для openvpn и с помощью них подключается. Если вы один раз настроили на сервере все необходимое, можете расшарить доступ к этому серверу другим клиентам Amnezia. Себе же или знакомым.

Проект интересный. Не видел и не слышал о подобных реализациях. Основная фишка, как я понял, в максимальной простоте. Но при этом вы имеет свой self-hosted vpn, а не чей-то сервис, который все ваши данные запишет, а потом сольет. Все что вам надо - арендовать vps и в личном кабинете посмотреть ip адрес сервера и root пароль. Больше вам ни с чем разбираться не придется. Приложение все делает само.

#vpn #openvpn

​​Меня товарищ попросил помочь посчитать, сколько будет стоить купить все необходимые лицензии для работы с файловыми базами 1С на терминальном Windows Server десяти пользователям. Речь идет про бухгалтерию и ЗУП. А потом, если производительности не хватит, сколько понадобится денег, чтобы перейти на вариант с MSSQL сервером. Я посчитал и немного ужаснулся от сумм. Напоминаю, что речь идет про 10 человек.

1-й вариант с файловыми базами:
◽ 1С:Предприятие 8. Клиентская лицензия на 10 рабочих мест - 41 400 р.
◽ Microsoft Windows Server Standart 2019  - 70 000 р.
◽ Microsoft Windows Remote Desktop Services CAL 2019 - 9500 * 10 = 95 000 р.

Посадить 10 человек на терминал с файловыми базами 1С по лицензиям стоит 206 400 р. Добавляем сюда минимум 100 000 р. на железо. Какой-нибудь десктоп с NVMe дисками и хорошим процом. Получается решение примерно на 300 000 р. Я все правильно посчитал?

Исходя из подобных расчетов, дешевле купить 1С где-то в облаке и пользоваться лет 5-7 за эти же деньги и вообще не заниматься администрированием. Но это не подходит тем, кто не хочет показывать кому-то свою бухгалтерию.

Теперь посмотрим, сколько надо добавить, чтобы переехать на клиент-серверную архитектуру 1С:
◽ 1С:Предприятие 8. Лицензия на сервер (x86-64)  - 86 400 р.
◽ MS SQL Server Standard 2019 Runtime для пользователей 1С:Предприятие 8 - 22 392 р.
◽ Клиентский доступ на 10 р.м к MS SQL Server 2019 Runtime для 1С:Предприятие 8 - 113 400 р.

То есть к текущим 300 000 р. добавляем еще 222 000 р. и в сумме получаем 522 000 р.

Как-то перебор, если идти по самому простому пути. И это еще железо бюджетное покупаем. Если закладывать нормальный сервер, то еще + 200 000 р. сверху. Но конкретно с 1С это не обязательно имеет смысл. На современных десктопных процессорах 1С зачастую выдает лучшую производительность за счет высокой частоты отдельного ядра. А по этому параметру большинство серверных процессоров уступают топовым десктопным.

Как вам такие расчеты? На чем экономить предлагаете? Может ошибся где-то? Я сам на практике очень давно не покупал подобные лицензии. Просто прикинул, что нужно и посмотрел цены в интернет магазинах.

#1С

​​В комментариях к одной из записей подписчик поделился любопытной историей про вирус в Винде и то, как он его побеждал. Мне показалось это полезным, поэтому делюсь с вами. Пересказываю своими словами суть.

Windows заболел типичной проблемой - не запускаются .exe файлы. Браузер и сама система работают, а все остальные программы вместо запуска открывают окно "Открыть с помощью..." При этом тело самого вируса ранее было удалено. Но пакостить он не прекратил.

В реестре все ключи в CLASSES/exefile/AppPaths/FileExt/ImageFileExecution были в порядке. Так что не было понятно, как реализован перехват запуска .exe файлов. Оказалось, что вирус сидел в памяти. Отобразить реальный список процессов не получалось. Вирус искажал отображение. Не давал запускать ни regedit.exe, ни taskmgr.exe, ни cmd.exe и т.д.

Скачать и запустить антивирус тоже не получалось. Было опробовано следующее решение. Для того, чтобы запустить экзешник, его переименовывали в .exe.scr. Это расширение экранной заставки, которая является исполняемым файлом. Это позволяло запускать некоторые приложения, с помощью которых от вируса избавились.

Понятно, что решить эту проблему можно было разными способами - восстановиться из бэкапа, загрузиться с LiveCD и т.д. Мне сама идея со сменой расширения понравилась. До этого еще догадаться надо. Обычно вирусы мимикрируют, используя это расширение, а тут такой же хак был использован для борьбы с ними :)

🙏 Благодарен всем, кто делится полезной информацией в комментариях. Я читаю практически все и всегда записываю интересное, чтобы потом посмотреть и поделиться с остальными, если нахожу это полезным не только мне.

#virus

​​Недавно было несколько публикаций в канале на тему веб интерфейсов управления для reverse proxy. Рассказывал про nginx и haproxy. Из этой же серии есть готовое решение - Traefik. Оно идеально подходит для проксирования запросов в различные docker контейнеры на одном хосте.

Принцип работы там следующий. Запускаете на хосте контейнер с traefik и подключаете ему хостовый сокет докера, чтобы он мог следить за запущенными контейнерами. Traefik из коробки имеет web интерфейс, через который можно всем управлять. Далее вы запускаете новые контейнеры с веб сайтами, передавая им некоторые метки через конфиг docker-compose. Сайты автоматически регистрируются в панели traefik, вы ими управляете. Ничего со стороны брать не надо, traefik все умеет сам.

Чтобы быстро запустить и понять, как traefik работает, подойдет Quick Start из его руководства - https://doc.traefik.io/traefik/getting-started/quick-start/ У него в целом хорошая инструкция с крутыми картинками.

Для более приближенной к реальной эксплуатации схеме можно воспользоваться инструкцией с DO, где показано, как проксировать запросы на несколько разных сайтов - https://www.digitalocean.com/community/tutorials/how-to-use-traefik-as-a-reverse-proxy-for-docker-containers-on-ubuntu-18-04-ru

Самый что ни на есть современный и молодежный инструмент с декларативной конфигурацией. Контейнеры есть, конфиги в TOML есть, копируй, вставляй, запускай, наслаждайся. Подобное решение отлично подойдет разработчикам небольших сайтов.

#webserver

​​Хочу рассказать любопытную проблему, с которой столкнулся недавно. Сразу забыл рассказать, а сейчас вот вспомнил. Это кажется сейчас невероятно, но есть еще компании, у которых свои, а не облачные сервера и даже целая серверная. Там некоторые сервера работают лет по 10 и до сих пор успешно выполняют возложенные на них задачи.

Было плановое отключение электричества. Упсы нормально отработали, софт погасил сервера, когда заряд батарей закончился. После запуска один сервер не стартанул, что меня не удивило. После отключения оборудования, которое работает годами без остановки, часто бывает так, что что-то ломается и не хочет запускаться.

Хорошо, что сервер был с ipmi. Подключился и расстроился. Сервер ругается на то, что сбросил настройки биоса в дефолт и просит нажать F1 для продолжения загрузки. Я обычно выключаю в bios такие предупреждения. Зашел в bios и выключил, хотя вроде бы делал это уже ранее.

Начинается загрузка системы. Сервер ругается на диск, загружается в single mode. Логинюсь в систему и запускаю fsck. Вижу любопытное сообщение: Superblock last write time is in future. И текущее время указано как 2014 год. Исправляю ошибки, перезагружаюсь. Опять просит F1 нажать.

Тут я все понял. Настройки bios не сохраняются, время слетает. Что это значит? Умерла батарейка на материнской плате. Из-за сбитого времени система при загрузке ругается на ошибки диска, так как видит там время записи суперблока из будущего. Лечится с помощью fsck и успешно работает до следующего выключения (не перезагрузки) питания.

Я сначала думал оставить все как есть. Выключения происходят крайне редко, а лишний раз дергать сервер не хочется. Но в итоге дождались возможности и заменили в нем батарейку. Проблема исчезла. Сколько лет администрирую сервера, а первый раз столкнулся с подобной ошибкой.

#hardware

Веселенький денек у сисадмина

Для тех, кто еще не видел (такие есть??? 😱), хочу поделиться очень крутым видео на тему сисадминского юмора - https://www.youtube.com/watch?v=W4uGoFBL-GM Это лучшее юмористическое видео про сисадмина, что я видел. К сожалению, оно очень старое, 2009 год, но ничего лучше с тех пор никто не смонтировал. Смотрится весело и задорно.

Я его постоянно пересматриваю. Это из разряда тех вещей, на которые можно смотреть вечно. Раньше все так просто и душевно было. Мог кто-то позвонить и попросить перезапустить веб сервер! Никаких облаков и кубернетисов. Сейчас никто не звонит, не просит поды перезапускать. Все делают бездушные машины сами.

#юмор

​​В этот теплый весенний выходной день хочется немного поговорить на отстраненные от серверов темы. Мне регулярно попадаются рассуждения на тему того, что никто никого сейчас не держит и не ценит, каким бы ты специалистом не был. Если что-то не устраивает, сразу просят на выход. Я имею строго противоположный опыт на этот счет и хочу им поделиться.

Так как я много работал с частичной занятостью и сейчас продолжаю это делать, у меня было гораздо больше собеседований, устройств и увольнений, чем в среднем у специалиста с полной ставкой. Плюс, я сам занимался подбором it специалистов, проводил собеседования, принимал решения о приеме или увольнении сотрудников.

Могу четко и однозначно сказать, что хорошего специалиста никогда не хочется терять. Найти замену - огромный труд для всех, с потерей кучи времени на всевозможные собеседования, отборы, интеграцию в рабочий процесс и т.д. При желании это все подсчитывается и переводится в денежный эквивалент. По моему опыту, сотрудник начинает эффективно работать в полную силу только примерно через пол года после трудоустройства. До этого он еще вникает в суть дел, что-то изучает, с чем-то знакомится, узнает что-то новое.

При таких вводных разбрасываться специалистами нет никакого резона. Их почти всегда стараются уговорить. Та же самая история происходила при моих увольнениях. Меня практически всегда пытались удержать, обсудить какие-то условия, изменения в рабочем процессе и т.д. Те, кто реально занимаются наймом или участвуют в рабочем процессе, понимают, что заменить профессионала и ответственного сотрудника трудно. Всегда проще попытаться оставить текущего, если он в принципе согласен договариваться и не выдвигает неадекватных требований.

👆 Так что если вас при увольнении не задерживают или даже рады поскорее уволить, подумайте, может вы не такой уж и ценный кадр, как вам это кажется?

#мысли

​​Я регулярно просматриваю множество telegram каналов, так как сам занимаюсь ведением оного. В основном это делается для того, чтобы перенимать какой-то опыт, отслеживать тренды, смотреть рекламу (я регулярно смотрю всю попадающуюся в телеграме рекламу).

Среди всего многообразия каналов есть те, которые мне реально нравятся. Я их не только просматриваю, но и регулярно читаю заметки. В основном это авторский контент, за которым стоит реальная личность. Я не люблю обезличенные каналы, потому что вижу там работу копирайтеров, которые просто заимствуют откуда-то контент и пишут общие фразы. Такие каналы, как по мне, бездушны и бессмысленны. В эпоху простого и быстрого доступа практически к любой информации они представляют малую ценность и должны уйти в небытие. Будущее за реальными авторами и личностями.

Ниже мой список интересных каналов. 👆 Это не реклама. Меня никто не просил включить тот или иной канал в подборку.

@sterkin_ru - канал про windows. Автор интересно пишет и очень качественно подходит к оформлению постов. Видно, что старается и делает с душой. Читать интересно.

@bykvaadm - канал практикующего devops инженера. Человек плотно работает и не уделяет много времени каналу и оформлению постов. Тем не менее, там много авторского контента и своих разработок, которыми делится.

@linkmeup_podcast - канал единственного it подкаста, который мне известен. Я пытался его немного слушать, но слишком длинные выпуски. У меня не хватает времени их слушать целиком, поэтому перестал. Автор с юмором ведет канал, интересно читать заметки. Жаль, что в основном комментарии на какие-то статьи или новости. Предполагаю, что основное внимание уходит на сам подкаст, а группа - дополнение к нему.

@ITKBnews - авторский канал одноименного сайта с хорошими статьями. Тематика канала в основном виндовая, но не только.

@winitpro_ru - на этом канале в основном анонсы и выдержки с одноименного сайта. Добавил информацию в этот список, потому что нравится сам сайт с качественными и проработанными статьями.

@overtimehate - еще один канал практикующего devops инженера. Пишет не часто, но иногда интересные авторские посты публикует со своими мыслями и рассуждениями.

Скорее всего я не знаком с огромным количеством других крутых каналов от отличных авторов. Если у вас есть на примете качественный канал на it тематику от реального автора, а не анонима, делитесь в комментариях.

​​Некоторое время назад один из читателей моего сайта написал, что сайт недоступен. У меня много всевозможных мониторингов настроено, так что я бы о проблемах сайта сразу узнал. Их не было.

Как потом выяснилось, у читателя подключен какой-то блокировщик на шлюзе по списку ip адресов, который кто-то ведет и автоматически обновляет. В этот список залетела вся /24 подсеть моего хостера, где в том числе был и мой ip.

Подобная тема со списками ip для блокировки была очень актуальна лет 10-15 назад с почтовыми серверами. Тогда во всех руководствах были инструкции по подключению списков блокировки. Особенно запомнился spamhaus. Сколько раз я оттуда всяческие ip вытаскивал, не счесть.

Когда я начал администрировать почтовые сервера и столкнулся с этими списками, быстро их все у себя убрал. Они создают очень много проблем, как самим администраторам систем, так и пользователям. Очень часто бывают ложные попадания в эти списки, либо баны сразу подсетями, когда страдает куча невинных людей и сервисов.

Я к чему все это написал? Не используйте составленные кем-то списки для блокировки доступа по ip адресам. Кажущееся на первый взгляд простое и эффективное решение приносит иногда очень много проблем. Мне кажется, это концептуально неправильный подход к безопасности.

​​Очередная отличная бесплатная платформа для обучения. В этот раз по Kubernetes - https://labs.play-with-k8s.com/ Эта площадка предоставляет возможность запустить несколько инстансов вашего кластера для обучения и тестирования. Проработают они только 4 часа и после этого будут удалены.

Помимо самой площадки, есть и обучающий курс с заданиями для выполнения - https://training.play-with-kubernetes.com/kubernetes-workshop/ В левой части экрана будут задания, в правой консоль кластера, где можно будет все выполнять. На момент написания заметки, консоль в правой части у меня не грузилась. Так что для выполнения заданий придется ходить в лабу, созданную по первой ссылке. Там все отлично работает. Быстренько инициализировал кластер и добавил в него 3 ноды.

Для тех, кто не знает, отмечу, что у меня есть цикл статей по Kubernetes- https://serveradmin.ru/category/devops/kubernetes/ Он был написан 1,5 года назад и техническая часть в плане конкретики могла где-то потерять актуальность. Но в целом все то, что описывает принципы работы кластера и описание абстракций кубера, актуально. Все планирую актуализировать и дополнить эти статьи, но надо много времени для этого. Не уверен, что смогу его в итоге выделить.

#бесплатно #курсы

Какую файловую систему выбрать, ext4 или xfs?

Думаю, у многих появляется этот вопрос, когда они устанавливают linux систему. Я сам не знаю, что лучше, поэтому если ставлю deb дистрибутив, то  использую ext4, а если rpm, то xfs. В обоих случаях это дефолтные файловые системы дистрибутивов.

На днях прочитал любопытную статью на сайте redhat.com на эту тему - https://access.redhat.com/articles/3129891 Кратко перевожу суть написанного и их вводы по сравнению конкретно этих двух файловых систем.

Особенность XFS в том, что она поддерживает очень большие разделы и файлы. Буквально exabytes. Я даже не знаю, сколько это. В статье так же указано на ограничение системного раздела с xfs - 500TB для Centos 7. В качестве плюса приводится аргумент, что эта файловая система отлично себя зарекомендовала в больших системах с множеством процессоров и внешних дисковых массивов, подключенных по HBA. Так же к плюсу xfs отнесли то, что она хорошо работает при многопоточной нагрузке параллельной записи и чтения. Минус - раздел с xfs в общем случае невозможно уменьшить (но если очень хочется, то можно). Так же xfs не очень подходит для однопоточных нагрузок с большим количеством метаданных. Например, если один поток создает и удаляет большое количество мелких файлов.

Теперь про ext4. В RHEL 7 она поддерживает разделы до 50TB. Нет никаких проблем с тем, чтобы уменьшить уже созданный раздел. Так же с их слов, ext4 лучше себя проявляет на медленных дисках с точки зрения пропускной способности и iops. Конкретно указано, что если у вас диски пишут медленнее, чем 200MB/s и имеют не более ~1,000 IOPS, то ext4 будет лучше, чем xfs. Также ext4 требует меньше вычислительных ресурсов cpu примерно в 2 раза для работы с метаданными.

Итог получается такой. Если у вас немного потоков последовательной записи или чтения с большим потреблением cpu, например, в виде мелких файлов, то ext4 лучше xfs. Если приложение работает с параллельной нагрузкой в несколько потоков с большими файлами, больше подойдет xfs.

Вообще, интересный вывод. Я краем уха слышал где-то об этом, но никогда не уточнял и не проверял сам. А вы какую файловую систему обычно используете?

​​Завтра 23 Марта, во вторник, в 11:00 пройдет очередной вебинар от Zabbix:

Обзор системы мониторинга Zabbix

Описание от маркетологов :)

Откройте для себя основные концепции работы с системой мониторинга Zabbix и почувствуйте уверенность при использовании ключевых функций, зная архитектуру системы.

Это традиционный вебинар от Zabbix. Я его уже смотрел. Очень наглядно покажут основной функционал. Вебинар зайдет тем, кто либо думает над тем, чтобы начать изучать Zabbix, либо уже поставил и разбирается.

Будут рассмотрены основные возможности системы с картинками и разделами веб интерфейса, где это все находится. В общем и целом информативно, рекомендую.

Регистрация - https://us02web.zoom.us/webinar/register/WN_eEZ7i9GbQSGdgp3MX05nfA
Вебинар на русском языке, проходит в Zoom.
❗️ Записи не будет!

#zabbix #вебинар

​​Программа для удаленных подключений в Windows

Много раз слышал рекомендацию попробовать программу MobaXterm. Только сейчас дошли руки это сделать. Это универсальная программа для удаленного подключения по различным протоколам - ssh, rdp, vnc и т.д. Даже S3 хранилища можно подключать и перемещаться по ним с помощью обычного обозревателя.

Сам я очень давно использую одну из старых бесплатных версий Xshell 5, где не было никаких ограничений. Я очень к ней привык, плюс там настроено очень много подключений. Буквально десятки, если не сотни. Переносить все эти настройки нет никакого желания. Xshell использую только для SSH.

Для RDP у меня mRemoteNG. Тоже одна из старых версий. Недавно попробовал обновление. Никаких новых полезных функций не увидел, зато программа заметно потяжелела и стала дольше запускаться. Вернулся на старую версию.

Вернемся к MobaXterm. Программа мне очень понравилась. Если бы выбирал себе сейчас подобный софт, то остановился на ней. Единственная проблема - ограничения бесплатной версии - только 12 настроенных сессий. Сама программа, как по мне, многовато стоит - $69 без налогов. С учетом того, что лично у меня бесплатный софт закрывает все потребности, особо не вижу смысла покупать эту.

Но повторюсь - программа реально удобная. Из того, что понравилось лично мне:
▪ Куча поддерживаемых протоколов (14 штук).
▪ Автоматом подхватила все локальные WSL системы и настроила для них подключения.
▪ При подключении по ssh, автоматом открывается подключение по sftp с обзором файловой системы. Можно без проблем тут же скачать или залить файл со своего компа.
▪ Табы, деление экрана для отображения нескольких сессий на одном.
▪ Программа быстро работает и открывает сессии. Она шустрая, несмотря на большой функционал.
▪ Много всяких тулз и макросов. Можно сильно кастомизировать подключения, запускать какие-то скрипты при подключении и т.д.

В общем, если выбираете софт для удаленных подключений, очень рекомендую обратить внимание на MobaXterm.

#software

​​Все привет. Хочу немного порассуждать на тему использования серверов. Каждый раз, когда я упоминаю в заметках об аренде серверов или в простонародье о дедиках, неизменно появляются люди, которые начинают говорить, что это жутко дорого, не выгодно, надо покупать свое и ставить у себя.

Рынок аренды серверного оборудования в виде облачных сервисов, vps или dedicated явно растет в последнее время, так что говорить о том, что это невыгодно, крайне недальновидно. Надо разбираться и считать.

Есть две диаметрально противоположные ситуации. Первая, когда у организации уже есть отдельное помещение с оборудованной серверной, штат it специалистов для обслуживания серверов. Очевидно, что в этом случае купить еще один сервер и поставить в стойку дешевле, чем взять в аренду.

Посмотрим теперь другую ситуацию, когда еще небольшая компания арендует офис в каком-нибудь бизнес центре A+. Им сервер ну просто некуда ставить. Если планировать серверную, то это помещение хотя бы на 4 кв. метра. При этом такого в принципе может и не быть. Но представим, что оно есть. Возьмем стоимость аренды 2000 р. за кв. метр в месяц. То есть 8000 р. только за помещение. Сервера гудят и мешают, их просто так не поставишь куда-нибудь в угол. Добавляем сюда электричество, инженерку, сеть, упсы и т.д.

В общем, на круг получается куча расходов и реально выгоднее просто взять что-то в аренду за 10-15 т.р. в месяц и просто не думать об этом. Там тебе и резервирование электричества с инетом будет, и комплектующие в случае поломки сразу заменят или дадут другой сервер. Круглосуточная поддержка, защита от ddos при желании может быть быстро подключена, заменен оперативно внешний ip, если понадобится.

В общем, ситуации могут быть разные. Нужно просто внимательно все посчитать, ничего не забыв. Где-то может быть выгодно купить какой-нибудь б.у. сервер и поставить его в colocation. Я обслуживаю и свое железо, и vps, и dedicated, и colocation. Все зависит от конкретных проектов и потребностей здесь и сейчас.

#мысли

​​Рассказываю про очередной очень простой и функциональный мониторинг - Netdata. Он может быть установлен на одиночный сервер и следить только за ним. Также есть возможность подключить несколько своих серверов с установленным мониторингом к публичному сервису и наблюдать за всеми своими серверами через него в браузере.

Ставится Netdata не просто, а очень просто. Идем в консоль и запускаем скрипт:

bash <(curl -Ss https://my-netdata.io/kickstart.sh)

Я про себя назвал его вежливым скриптом. Это первый установочный скрипт, который не сделал ничего в системе без моего разрешения. Он спросил разрешение на подключение сторонних реп и установки дополнительных пакетов. Спрашивал обо всем, самостоятельно ничего не сделал. В конце собрал сам себя из исходников.

После установки, можно сразу идти в браузер по локальному ip и смотреть мониторинг. Порт - 19999, авторизации нет. По умолчанию доступны привычные базовые метрики - cpu, память, диск, сеть и т.д. Но на самом деле функционал этого мониторинг очень сильно расширяется дополнительными collectors. Они есть для массы популярного софта. Не буду все это перечислять, можете сами посмотреть - https://learn.netdata.cloud/docs/agent/collectors/collectors

У вас есть возможность бесплатно зарегистрироваться в https://www.netdata.cloud/ и настроить сбор метрик со всех своих серверов туда. Делается это тоже очень просто. Заходите в личный кабинет, добавляете новую комнату и подключаете туда свои сервера:

netdata-claim.shnetdata-claim.sh -token=SIm3ctYjBA6ehxlY1HKTKYo9HE-hPijoMWZxy-YGquOX17K9Zrv-ipsLaJhml2CPaZ1VI3YEC3Ss429a6l2zZAsUxzU9-pNzdIDbFUGKFXlsK-gVaQXxVMUPIBwz_ANF0vsznGI -rooms=22fd6509-c18a-4731-91c7-c4745922f999 -url=https://app.netdata.cloudhttps://app.netdata.cloud

Все, больше ничего делать не надо. Все метрики и сам сервер появится в дашборде через несколько секунд. Мониторинг будет доступен отовсюду через браузер.

Так как в Netdata есть поддержка всяких докеров, кубернетисов и прочего современного софта, да еще и ставится практически все автоматически, можно после установки почувствовать себя настоящим девопсом. Не упустите такой возможности.

#мониторинг

Обновил сегодня одну из самых популярных статей на сайте по переносу ключей CryptoPro. Написал ее сходу года 4 назад, когда делал подобную процедуру. При этом вообще не старался и ни на что не рассчитывал. Написал больше чтобы самому не забыть. По факту за прошлый год это была самая популярная статья сайта.

Полностью актуализировал ее и проверил. Способы описаны рабочие. Сейчас с электронной цифровой подписью приходится работать все большему количеству людей. И скорее всего процесс этот будет нарастать. У меня у самого есть такая подпись. Так что материал по факту актуален не только для админов, но и обычных пользователей.

Хочу добавить важное замечание по поводу копирования и экспорта ключей ЭЦП с токенов. Не делайте этого без крайней необходимости, особенно если ключи заменяют подпись очень ответственного человека. У меня один админ просил помочь ему скопировать ЭЦП с неэкспортируемого токена нотариуса, которой он подписывает свои документы. Ему нужно было распространить её на все компьютеры офиса, чтобы не бегать и не втыкать каждый раз токен при подписи документа.

Я ему расписал, что может случиться, если эта подпись утечет на сторону и кто потом за это будет отвечать. Подумал и согласился, что на себя брать эту ответственность нет никакого смысла. Токен для того и создан, чтобы отвечал за него тот, у кого он находится физически. Я всегда при работе с ЭЦП стараюсь максимально отстраниться от управления этими делами.

Использовать токен и отвечать за него должен тот, у кого он физически находится. Особенно это касается банков. Не нужно это перекладывать на админа, а админу не надо брать на себя ответственность за ключи ЭЦП. Пусть тот, кому их дали, ими пользуется и несет ответственность. Ваша задача настроить софт на компе, чтобы все работало.

https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/

​​Иногда нужно быстро проверить скорость интернета на сервере. Причем через консоль. Первое, что приходит на ум, это iperf. Я сам им постоянно пользуюсь. Но для этого надо сначала где-то поднять сервер и подключиться к нему клиентом.

Гораздо быстрее и проще воспользоваться консольным speedtest. Я долгое время не знал, что он в принципе существует. Быстро проверить скорость с его помощью можно вот так:

wget -O - https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.pyhttps://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py | python

Python чаще всего есть во всех популярных дистрибутивах, так что ничего дополнительно ставить на сервер не придется. Если хотите на постоянку его поставить у себя, то скачайте скрипт и положите в системную директорию:

wget https://raw.github.com/sivel/speedtest-cli/master/speedtest.pyhttps://raw.github.com/sivel/speedtest-cli/master/speedtest.py
chmod a+rx speedtest.pyspeedtest.py
mv speedtest.pyspeedtest.py /usr/local/bin/speedtest

С помощью этой консольной утилиты удобно мониторить канал в интернет, периодически запуская проверки и распарсивая вывод в консоль. Например, вот так:

speedtest | grep Download | awk '{print $2}'

Только имейте ввиду, что этот мониторинг очень условный, еще и канал забивает. Его имеет смысл запускать иногда, просто чтобы понимать, соответствует ли в принципе ваша скорость тарифному плану.

Оказывается у известного видео, которое мы смотрели в прошлую пятницу, есть продолжение. И даже много. Я все просмотрел, понравилось больше всего вот это:

https://www.youtube.com/watch?v=1XjKnxOcaO0

Смотреть можно и без перевода, в целом, все понятно. Но если что, можно субтитры включить и выбрать английский язык. Так будет еще понятнее.

Техподдержка четко отработала :) И полицейский!

#юмор #видео

​​У меня дома две тестовые лабы с гипервизорами. Одна на Hyper-V, вторая на Proxmox. Меня лично утомило каждый раз соглашаться с предупреждением безопасности при подключении к web интерфейсу proxmox, поэтому я решил разобраться с этим вопросом.

Помимо предупреждения безопасности, хотелось бы еще и пароль сохранить в браузере. Хоть я и не храню важные пароли в браузере, особенно того, что доступно из интернета, но в данном случае это не критично, так как лаба доступна только из локальной сети. К тому же она чаще всего выключена.

Решается этот вопрос достаточно просто. Вам надо добавить CA сертификат Proxmox себе в систему в качестве доверенного центра сертификации. Забрать сертификат можно в web интерфейсе, в разделе System -> Certificates. Вам нужен именно pve-root-ca.pem.

Содержимое сертификата можно сохранить в текстовый файл, поменять разрешение на .cer и добавить этот сертификат в систему. Хранилище выбираем - Доверенные корневые центры сертификации.

Есть еще один путь - настроить сертификаты lets encrypt. Proxmox их поддерживает из коробки. Но есть проблема. Для их быстрого выпуска и обновления необходимо на гипервизоре держать открытыми порты 80 и 443. А у меня обычно на гипервизорах присутствуют веб сервера, которые занимают эти порты, так что путь получения сертификатов для самого гипервизора становится немного усложненным, так что я предпочитаю не заморачиваться. Хотя это реально и ничего запредельно сложного нет.

#proxmox