​​Когда речь заходит про бесплатный программный Firewall, сразу же на ум приходит старый, проверенный временем firewall на базе Freebsd - pfSense. Там все настройки можно натыкать мышкой, но всё равно получится хорошо.

А вот если вы заядлый консольщик и не уважаете нубские GUI, то вам подойдёт другое решение - VyOS. Там только консоль, как в суровых профессиональных железках, типа Cisco или Juniper. Причём VyOS очень сильно напоминает синтаксис JunOS.

Из функционала в VyOS есть практически всё, что можно только пожелать:
▪ Routing: BGP (IPv4 and IPv6), OSPF (v2 and v3), RIP and RIPng, policy-based routing.
▪ VPN: IPsec, VTI, VXLAN, L2TPv3, L2TP/IPsec and PPTP servers, tunnel interfaces (GRE, IPIP, SIT), OpenVPN in client, server, or site-to-site mode, Wireguard.
▪ Firewall and NAT: Stateful firewalls, zone-based firewall, all types of source and destination NAT (one to one, one to many, many to many).
▪ Network services: DHCP and DHCPv6 server and relay, IPv6 RA, DNS forwarding, TFTP server, web proxy, PPPoE access concentrator, NetFlow/sFlow sensor, QoS.
▪ High availability: VRRP for IPv4 and IPv6, ability to execute custom health checks and transition scripts; ECMP, stateful load balancing.

Если во всём этом разобраться и настроить, то не стыдно будет признаться кому-нибудь прилюдно. Это не про Mikrotik упомянуть, за который сразу могут нахамить те, кто не смог с ним разобраться.

Под капотом у VyOS Debian и Iptables. Хотя сейчас уже возможно Nftables. Есть два режима обновлений: rolling (для отважных) и long term (для всех остальных). В общем, продукт известный, надежный и зрелый. Тут без шуток, рекомендую попробовать. Отлично заходит в качестве шлюза виртуальных машин гипервизора.

Сайт - https://vyos.io

#gateway

​​Для тех, кто ещё не сконвертировал все свои Centos 8 в какую-то другую систему, небольшая инструкция. Я ещё в декабре всё основное перевёл, что так или иначе контактирует с внешним миром. Теперь доделал потихоньку всё остальное (в основном свои системы - elk, gitlab и т.д.). Рекомендую всем это проделать, кто отложил на потом. Обновлений для Centos 8 больше нет. Более того, и репы основные закрыли.

Теперь перед конвертацией, нужно изменить репозитории. Идём в yum.repos.d и отключаем у всех базовых реп mirrorlist:
# cd /etc/yum.repos.d/
# sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*

Вместо него раскомментируем baseurl и заменим mirror.centos.org на vault.centos.org:
# sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*

CentOS-Linux-BaseOS.repo должен выглядеть так:

[baseos]
name=CentOS Linux $releasever - BaseOS
baseurl=http://vault.centos.org/$contentdir/$releasever/BaseOS/$basearch/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

Теперь можно конвертировать в Oracle Linux:
# git clone https://github.com/oracle/centos2ol.git
# cd centos2ol
# screen
# bash centos2ol.sh

Дальше пойдёт конвертация. У меня ни разу не было проблем с ней. А вот после возникали иногда, когда обновлял систему. Иногда появляются проблемы с зависимостями, приходится в каждом конкретном случае разбираться.

Как уже ранее говорил, я все Centos 8 перевёл на Oracle Linux, а все новые установки теперь делаю на Debian.

#centos

Хотите узнать о том, как правильно организовать мониторинг и observability в облаках? 
 
Присоединяйтесь к бесплатной онлайн-конференции UPTIME MEETUP! 
 
Директор направления DevOps-продуктов компании ITSumma Сергей Спорышев расскажет о том: 
> какими инструментами воспользоваться в 2022 году при организации системы мониторинга в облаке; 
> как выстроить систему мониторинга и оповещений об инцидентах, чтобы «спать по ночам»; 
> что нужно для внедрения полноценной observability-методологии в проект, помимо метрик и алертов. 
 
Другие спикеры ITSumma и Microsoft расскажут о новых направлениях в *Ops, которые вытесняют DevOps-инженеров, а также об опыте Microsoft в Open Source. Можно ли будет задавать им вопросы? — Конечно же, да! 
 
Присоединяйтесь к конференции UPTIME MEETUP 15 февраля в 11:00 Мск!  

 👉 Бесплатная регистрация уже открыта по ссылке: https://bit.ly/3ugr2ZK

#реклама #бесплатно

​​Для Prometheus существует множество готовых решений для учёта SLA или SLO. Я уже помнится писал про одну - SLO tracker. Сейчас посмотрел похожую панельку, но она мне понравилась больше - Pyrra (https://github.com/pyrra-dev/pyrra). Выглядит симпатичнее и настраивается проще.

Для тех, кто захочет попробовать, в репе лежит пример с готовым docker-compose.yaml и конфигом pyrra, где в качестве примера взята метрика prometheus_http_requests_total и 5XX ошибки для неё. Сам конфиг в директории pyrra. Можно наглядно оценить, насколько просто и быстро она настраивается.

Готовая демка есть тут - https://demo.pyrra.dev. Можно посмотреть, как всё это выглядит. В репозитории есть все инструкции и описание, так что запустить не трудно. Мне хотелось бы что-то подобное получить для Zabbix, но ничего похожего и раньше не видел, и сейчас не смог найти. Всё самое современное, удобное, быстро настраиваемое пишут под пром.

Даже и не знаю, переползать на него что ли потихоньку в каких-то случаях. Не хочется две системы использовать, но сейчас реально гораздо быстрее и проще поднять мониторинг на Prometheus. Под него все экспортеры есть и готовые шаблоны, инструменты на любой вкус.

#devops #prometheus

​​Расскажу вам про маленькую, но очень полезную утилиту, которая пригодится любому пользователю Windows, будь то десктопная или серверная система. Речь пойдёт про BlueScreenView (https://www.nirsoft.net/utils/blue_screen_view.html). Это маленькая программа, не требующая установки для запуска.

С помощью BlueScreenView можно быстро посмотреть аварийный дамп операционной системы, который она делает, когда падает в синий экран. Это первое средство, с помощью которого я начинаю разбираться с такого рода проблемами. Не могу сказать, что BlueScreenView прям всегда помогает, но иногда решает вопрос тут же, если причина зависания в каком-то драйвере или программе.

Например, антивирусы запросто могут вызывать синий экран. Много раз сталкивался с подобным и BlueScreenView тут же показывает проблемный файл, а по нему можно выяснить, какому софту он принадлежит. Удаляешь или обновляешь проблемный софт или драйвер и проблема тут же решена.

Конечно, так бывает не всегда. И если проблемным окажется файл ntoskrnl.exe, что бывает нередко, то тут простого решения нет, так как ntoskrnl.exe - ядро самой ОС. Для более детальной и вдумчивой отладки придётся использовать другой инструмент - Debugging Tools for Windows. Но с ним уже нужно разбираться и так просто не понять причину проблем, просто запустив отладчик.

Вспомнил про эти средства, потому что дома один из компов постоянно падает в синий экран при запуске. Потом автоматом перезагружается и нормально работает. Всё время откладываю решение вопроса, потому что комп особо не нужен никому, к тому же после перезагрузки работает. В некоторых дампах увидел упоминание драйвера usb. Решил пока отключить от компа все устройства, кроме клавы и мышки. Посмотрю, поможет ли. Проблема возникает не всегда, а время от времени. Такие ошибки труднее всего дебажить.

#windows

📌 Развиваешься как дата-инженер? Тогда базы данных класса Massive Parallel Processing должны стать твоим неотъемлемым атрибутом. 

📚 16 февраля в 16:00 (мск) пройдет вебинар «Введение в MPP-базы данных на примере ClickHouse». Эта технология — отраслевой стандарт для хранения Больших Данных и решения разнообразных аналитических задач на их основе. 

🔥 Занятие проведет Максим Мигутин, эксперт пятилетним опытом в индустрии данных и аналитики в роли внешнего консультанта (IBM) и in-house лидера Data Engineering и Data Science-проектов. 

✅ На открытом уроке мы подробно разберем:

- Что такое mpp-БД
- Какие решения есть сегодня на рынке
- Практический пример использования одной из самых инновационных mpp-систем — ClickHouse

👉 Пройдите вступительный тестПройдите вступительный тест для регистрации на занятие - https://otus.pw/8nAD/

#реклама

​​Продолжаю тему HelpDesk систем. Сегодня познакомлю вас с очень простым, бесплатным продуктом, который легко запустить, освоить и закрыть базовый функционал. Речь пойдёт про Hesk - веб портал технической поддержки на базе стандартного стека php + mysql.

Особенности Hesk:
▪ поддержка русского языка;
▪ функционал базы знаний;
▪ возможность создавать тикеты через отправку email;
▪ поддержка шаблонов тикетов и ответов;
▪ создание заявки пользователем без аутентификации.

У Hesk вполне приятный и интуитивный интерфейс. По идее, пользователям должно быть не сложно с ним освоиться, но это не точно. Им почти любая система, вынуждающая делать лишние действия, может показаться сложной.

Устанавливается Hesk как типичный веб движок. Качаете архив с исходниками и кладёте на веб сервер. Потом через браузер запускаете установщик. Предварительно нужно будет создать базу данных Mysql. Для девопсов какой-то добрый человек даже Docker контейнер собрал и поддерживает его. Там почти последняя версия Hesk 3.

У разработчиков Hesk есть более продвинутая платная версия Service Desk системы SysAid, так  что Hesk скорее всего так и останется бесплатным в качестве заманухи и продвижения основного продукта.

Сайт - https://www.hesk.com
Demo - https://www.hesk.com/demo.php

#helpdesk

​​Думаю все, или почти все знают сервис по проверке файлов на вирусы - virustotal. Я сам им периодически пользуюсь, когда надо быстро проверить скачанный из интернета файл. Есть боты для быстрой проверки через Telegram.

Я хочу вас познакомить с более продвинутым и полезным сервисом для бесплатных проверок файлов - hybrid-analysis.com Он выполняет проверку в том числе на virustotal, но помимо этого прогоняет софт через Falcon Sandbox. Выполняет установку, анализ после установки и отчёт.

Я для примера прогнал через этот сервис установщик Outline-Manager. Все проверки антивируса он проходит без проблем. А кое-какие дополнительные подробности можно увидеть через анализ в песочнице. На выходе будет информация о работе установщика, какие файлы, процессы порождает, куда обращается в интернете, скриншоты установки и много другой дополнительной информации.

Вердикт оказался - malicious (вредоносный). Почему именно такой, можно посмотреть в подробном отчёте. Я посмотрел по всем выпадающим спискам информацию. В целом, криминала там не увидел, а вердикт вынесен по совокупности факторов. Но есть о чём подумать. Софт то бесплатный, хоть и открытый. Но кто его внимательно смотрит? Возможно никто. Вот ссылка на общий отчёт.

По своей сути сервис является бесплатной версией и рекламой платного продукта Falcon Sandbox. Ограничение сервиса - принимаются на анализ файлы не более 100 мб.

#security

🤖Осваиваете мониторинг и логирование? 

Для вас 15 февраля в 20:00 пройдет открытый урок «Grafana: формирование дашбордов». Занятие проведет Евгений Павлов, программист и системный администратор Linux с 10-летним опытом.

⁉️Что вас ждет?

✔️ Проанализируем возможности по формированию дашбордов
✔️ Научимся использовать дашбороды, тиражирование и переменные
✔️ Посмотрим, как формировать дашборды для различных окружений

📚Программа рассчитана на администраторов Linux, DevOps-инженеров и разработчиков. Протестируйте заранее обучение на онлайн-курсе «Observability: мониторинг, логирование, трейсинг»! 

📌Перед регистрацией пройдите вступительный тест: https://otus.pw/uBun/

#реклама

Долго искал интересное развлекательное видео, которое бы мне понравилось самому и захотелось поделиться с вами. Не всё же время обучающие уроки смотреть и выступления с конференций.

Предлагаю вам посмотреть A day in the life of a systems administrator.
https://www.youtube.com/watch?v=ZEU-EybN4Kk

Видео снял сисадмин из Maryland USA. Мне было интересно посмотреть, как начинается его день. Где он живет, как и на чём добирается до работы. Как выглядит его рабочее место и программное окружение, с которым он работает.

Немного неожиданно было увидеть рабочий день сильно похожий на такой же в обычном нашем офисе. Разница лишь в том, что у него, как я понял, действие происходит в какой-то провинции, а у нас там и офисных центров то нет. А так всё то же самое. Утро, чай (из пакетиков Lipton 😅), почта, алерты. Почитали, пора на обед. После обеда какое-то выступление, снова чай, поделали какие-то дела, пора домой :)

Я прям заскучал по такому графику, когда всё по расписанию. Давно так не живу и совершенно отвык, хотя иногда скучаю по рабочему дню с 9 до 18 и отпуском в 28 дней, когда не нужно ничего делать (но это не всегда так). Правда скука по тем временам моментально улетучивается, когда тебе в середине дня нужно куда-то съездить по личным делам. Ты берёшь и едешь.

#видео

Технический пост, который уже давно нужно было сделать, но всё руки не доходили. На канале много содержательных заметок по различным темам. Иногда сам через поиск ищу то, о чём писал. Ниже набор наиболее популярных тэгов по которым можно найти что-то полезное (и не очень).

#remote - все, что касается удалённого управления компьютерами
#helpdesk - обзор helpdesk систем
#backup - софт для бэкапа и некоторые мои заметки по теме
#zabbix - всё, что касается системы мониторинга Zabbix
#мониторинг - в этот тэг иногда попадает Zabbix, но помимо него перечислено много различных систем мониторинга
#devops - в основном софт, который так или иначе связан с методологией devops
#kuber - небольшой цикл постов про работу с kubernetes
#chat - мои обзоры на популярные чат платформы, которые можно развернуть у себя
#бесплатно - в основном подборка всяких бесплатностей, немного бесплатных курсов
#сервис - сервисы, которые мне показались интересными и полезными
#security - заметки, так или иначе связанные с безопасностью
#webserver - всё, что касается веб серверов
#gateway - заметки на тему шлюзов
#mailserver - всё, что касается почтовых серверов
#elk - заметки по ELK Stack
#mikrotik - очень много заметок про Mikrotik
#proxmox - заметки о популярном гипервизоре Proxmox
#terminal - всё, что связано с работой в терминале
#bash - заметки с примерами полезных и не очень bash скриптов или каких-то команд. По просмотрам, комментариям, сохранениям самая популярная тематика канала.
#windows - всё, что касается системы Windows
#хостинг - немного информации и хостерах, в том числе о тех, кого использую сам
#vpn - заметки на тему VPN
#курсы - под этим тэгом заметки на тему курсов, которые я сам проходил, которые могу порекомендовать, а также некоторые бесплатные курсы
#игра - игры исключительно IT тематики, за редким исключением
#совет - мои советы на различные темы, в основном IT
#юмор - большое количество каких-то смешных вещей на тему IT, которые я скрупулезно выбирал, чтобы показать вам самое интересное. В самом начале есть шутки, которые придумывал сам, проводил конкурсы.
#мысли - мои рассуждения на различные темы, не только IT
#разное - этим тэгом маркирую то, что не подошло ни под какие другие, но при этом не хочется, чтобы материал терялся, так как я посчитал его полезным

Остальные тэги публикую общим списком без комментариев, так как они про конкретный софт, понятный из названия тэга:
#docker #nginx #mysql #postgresql #gitlab #asterisk #openvpn #lxc #postfix #bitrix #икс #debian #hyperv #rsync #wordpress #zfs #grafana #iptables
#prometheus #1с

💡Первая работа в IT — тебя наконец взяли, а что дальше? 9 из 10 начинающих айтишников не имеют четкого плана развития и тратят в два раза больше времени, чтобы выйти в лигу востребованных мидлов.
🗓 15 февраля в 19:00 пройдет воркшоп «Карьера начинающего айтишника: в корпорациях и самостоятельно».

Занятие проведут Ася Колосова, карьерный коуч и консультант, хэдхантер с 20+ лет стажа работы в HR крупных международных и российских компаниях, и Катерина Иванова, специалист Центра карьеры OTUS.

◽ Узнаешь, как происходит развитие IT-специалистов в корпорациях
◽ Научишься на собеседовании выявлять перспективы роста в компании
◽ Попробуешь 2 техники для самостоятельного планирования карьеры
◽ Наконец разберешься, что такое карьера в IT и надо ли оно тебе

Воркшоп ориентирован на IT-специалистов, которые сейчас в поиске первой работы или имеют небольшой опыт в компаниях.

➡️Регистрация по ссылке – https://otus.pw/GVb2/

#реклама #бесплатно

​​Посмотрел вчера отличное видео на тему плавающего IP (keepalived) и технологии VRRP. Автор очень понятно и доступно объясняет теорию на тему отказоустойчивого шлюза и тут же показывает практическую часть прям с конфигами, настройкой и запуском всего этого хозяйства. А потом тестирует работу при отказе одного из роутеров.

Очень качественный материал и подача. Мне хоть и не особо нужны подобные технологии, но всегда было интересно посмотреть, как это на практике выглядит и работает. Так что рекомендую. Поясню, что речь идёт о программных шлюзах на Linux. Если у вас микротики, можно не смотреть 😁

https://www.youtube.com/watch?v=YQvgO7jLJ7M

#видео #gateway

​​Мне нравится, как работает умная лента новостей Google, когда запускаешь Chrome на смартфоне. Постоянно читаю там новости. Они почти на 100% релевантны моим интересам. Накануне обновлял ELK Stack, пришлось повозиться с Enterprise Search. Так на следующий день мне в ленту насыпало немного информации по ELK, в том числе новость о выходе 8-й версии и изменениях безопасности в ней. Так как я ELK использую постоянно, решил прочитать и поделиться основными изменениями с вами.

Для тех, кто не в курсе, поясню, что изначально в ELK практически всё, что касалось безопасности, было платными дополнениями. Даже банальный доступ к стеку с авторизацией по логину и паролю. Со временем стали появляться форки, где этот функционал был реализован бесплатно, так что разработчикам Elastic пришлось пойти на уступки и тоже потихоньку добавлять этот функционал в бесплатную версию.

На текущий момент в версии 8.0 будет бесплатно доступен следующий функционал:
◽ Аутентификация пользователей
◽ Авторизация пользователей на основе ролей
◽ Kibana multi-tenancy, то есть разный доступ пользователей Kibana к объектам
◽ TLS соединения между нодами elasticsearch
◽ Доступ к Elasticsearch API по HTTPS

Когда я только начинал изучать ELK, всего этого не было и как только не приходилось изворачиваться, чтобы не показать лишнего тому, кому не следует. Приходилось использовать проксирование и basic auth, поднимать разные инстансы для разных команд, чтобы они не видели чужие логи. Сейчас стало очень удобно. Реально весь необходимый функционал есть в бесплатной версии. Я даже не знаю, за что там сейчас люди платят деньги.

У постоянных изменений ELK Stack есть и обратная сторона. Его хлопотно поддерживать. Он часто обновляется и это не всегда проходит легко и гладко. Даже в пределах одной ветки иногда обновления приводят к проблемам и надо очень внимательно готовиться к обновлению стека. У меня по умолчанию пакеты, связанные с ELK, отключаются от обновлений через пакетный менеджер. Всегда делаю это только вручную, чего и вам советую. Недавнее обновление в рамках 7-й версии тоже закончилось падением сервисов, так что пришлось повозиться. Благо, было технологическое окно для этого, и обязательно свежий бэкап и снепшот виртуалки. Если бы понял, что быстро не решу проблему, пришлось бы откатиться.

#elk #devops

Подготовьте IT-инфраструктуру к 2023 году!

Присоединяйтесь к трансляции от @Selectel, где мы рассмотрим сложности использования собственного сервера и расскажем о преимуществах инфраструктурного провайдера.

4 главных темы вебинара:

— Как выбрать инфраструктурного провайдера?
— Из чего складывается стоимость владения ИТ-инфраструктурой?
— Ключевые продукты и услуги Selectel
— Несколько кейсов наших клиентов

Дарим промокод на 2023₽ всем участникам вебинара!

Участие бесплатное, регистрируйтесь по ссылке: 🚀 https://slc.tl/XYIZa

#реклама #бесплатно

​​Вы когда-нибудь публиковали в паблик свои пароли по ошибке? Я сам ни разу не замечал за собой такое, но от разработчиков видел подобное много раз. Один знакомый умудрился в публичные репы github выложить Dockerfiles нод криптовалют со своими кредами.

Есть достаточно известный продукт gitguardian (https://gitguardian.com) для автоматического сканирования репозиториев и обнаружения там приватных данных: токенов, паролей, сертификатов. Настраивается он просто, так как доступна готовая интеграция с популярными сервисами. А сам он работает по модели SaaS или self-hosted (только за деньги).

Есть бесплатная версия для небольших команд. У неё одно простое ограничение - не более 25 разработчиков на проект. Разработчиком в данном контексте является активный контрибьютор, который сделал хотя бы один коммит в течении последних 90 дней. Ограничение достаточно лояльное, так что бесплатная версия подойдёт для широкого круга небольших команд.

#git #devops #security #бесплатно

​​Безопасность IP-АТС Asterisk

Прежде чем продолжать тему безопасности в Asterisk я посмотрел 3,5 часовое видео на эту тему и рекомендую его всем, кому это актуально. Информация там интересная и полезная, потому что видно, рассказывает практик с большим опытом. Но из-за формата видео, оно очень длинное, а реально практической информации там от силы на пол часа. Тут бы идеально зашла статья с примерами реализации всего сказанного, но как я уже говорил, хорошие качественные статьи сейчас особо нет смысла писать, поэтому их и нет. Приходится довольствоваться такими вебинарами.

Сразу отмечу, что оставлять Asterisk доступным из интернета эта нормальная практика, если соблюдать определённые предосторожности. Автор как раз описал кейс, который есть у меня. Люди ездят в Европу и им нужна sip связь через смартфон, чтобы совершать звонки. С впнами или другими ограничениями у них там 100% возникнут какие-то проблемы. Этот вопрос можно проработать без закрытия прямого доступа к астеру.

💡 Итак, практические рекомендации из видео:
▪ Защита АТС на уровне сети. Обязательно Firewall с fail2ban, по возможности VPN и в отдельный VLAN всё, что связано с voip. Если есть возможность, на Firewall отключаем ненужные страны. Если умеем смотреть L7, отсекаем левые User-Agent, либо разрешаем только свои. Автор предложил ещё один любопытный способ защиты. Вешаем астер на рандомное доменное имя, которое никто не знает и отсекаем всех тех, кто обращается к серверу не по нему. Для этого тоже надо уметь смотреть L7. Либо еще один вариант защиты. Вешаем астер на 2 внешних ip, основной и второй как ловушка для ботов. Люди пользуются только одним ip, а всех, кто обращается ко второму баним сразу для обоих ip адресов. То есть используем технологию honey pot.
▪ Защита на уровне конфигурации. Тут целый набор рекомендаций: скрываем версию сервера, ставим сложные пароли, вводим pin коды для дорогих направлений, ставим call-limit, сажаем всех в разные контексты по группам, аккуратно настраиваем dialplan, разграничивая направления масками, запрещаем звонки ночью и в выходные, если не надо и т.д.
▪ Защита самой системы. Тут всё стандартно и ничего интересного. Защищаем саму ОС, обновляем своевременно систему и PBX и т.д. В общем, всё что админы и так стандартно должны делать, но иногда не делают, потому что не всегда можно просто взять и обновить Asterisk, особенно, если надо перейти на следующую ветку.
▪ Защита периферийного оборудования. Тут было много интересных историй и рекомендаций. Многие не обращают особое внимание на защиту, когда сервер закрыт в локалке или в vpn и не смотрит наружу. Но это особо ничего не гарантирует, потому что креды от пира могут утечь и внутри закрытого периметра. Один из таких случаев я, кстати, рассказывал. Взломали микротик и через него пробросили vpn к sip северу и звонили. В общем случае все меры предосторожности должны соблюдаться по максимуму, даже если астериск не доступен извне.

Отдельно расскажу про мониторинг. В видео про него практически ничего не было. Скажу, что я обычно мониторю на Asterisk:
◽ channels, которые видно через "sip show channels". Если появляется какой-то всплеск идёт оповещение и блокируется ip, который открывает их слишком много.
◽ количество исходящих звонков. Если их больше среднего, срабатывает триггер.
◽ статус некоторых пиров и транков
◽ работу службы Fail2ban, Iptables и наличие цепочек fail2ban в правилах
◽ отдельно смотрю в "sip show channels" спам инвайтами и баню тех, кто спамит слишком часто. Я не знаю, зачем некоторые это делают и чем опасен такой спам. Баню на всякий случай.  

Остальной мониторинг по стандарту - загрузка ресурсов, трафик, аптайм, доступность, работа служб и т.д.

Отдельно дам рекомендацию тем, кто думает поднимать свою IP-АТС любой реализации. Если есть возможность, купите телефонию как сервис или наймите внешних подрядчиков на внедрение и поддержку. Это реально проблемная история, которая требует опыта и постоянной вовлечённости.

#asterisk #security

​​Руководство по проектированию беспроводной локальной сети

Со всех сторон нас преследует реклама – «переходи на Wi-Fi 6», «за Wi-Fi 6 будущее», «только теперь с Wi-Fi 6 ваша беспроводная сеть будет работать без проблем», с обязательным предложением купить соответствующее точки доступа. Но никто во всех этих материалах не говорит, как строить сеть на Wi-Fi 6, на что обращать внимание, какие подводные камни могут возникнуть при дизайне такой сети.

📍 Специалисты CNS вместе с инженерами Cisco подготовили бесплатное руководство по проектированию WLAN, которое показывает, как создать надежную и производительную беспроводную сеть в компании, используя возможности Wi-Fi 6.

Помимо прочего из руководства вы узнаете:
◽ Роль и конфигурации контроллеров;
◽ Функциональные особенности точек доступа Wi-Fi 6 и их необходимость в зависимости от требований компании к WLAN;
◽ Варианты дизайна беспроводных сетей на Wi-Fi 6 в зависимости от размера компании;
◽ Конфигурации гостевых сетей;
◽ Обеспечение безопасности в сетях на Wi-Fi 6 и предотвращение самых популярных угроз.

Независимо от того, является ли ваша компания небольшой по размеру или крупным предприятием с высокой плотностью, в руководстве вы найдете платформу и дизайн, соответствующий вашим потребностям.

👉 Скачать и посмотреть руководство можно здесь: https://bit.ly/3rtU1aV

#реклама

​​Мне довелось познакомиться с HTTP протоколом для загрузки файлов с поддержкой докачки в случае обрыва связи или принудительной остановки загрузки. Речь пойдёт про tus (https://tus.io). Задача загрузки файлов куда-либо всегда была актуальна. Тот же ftp протокол сколько не хоронят, а всё равно используется. Я покажу вам один из неплохих и функциональных вариантов управления загрузкой.

Tus состоит из двух частей - клиента и сервера. Сервер написан на Go и представляет собой один бинарник. Можно просто скачать из репы и запустить, либо воспользоваться докер контейнером.

Бинарник под свою систему берём тут. Запускаем:
# ./tusd -upload-dir=/tmp
Используем Docker:
# docker run tusproject/tusd

В первом случае для хранения файлов будет использоваться директория tmp, во втором случае /srv/tusd-data/data. Это дефолтное значение. В качестве хранилища для файлов может использоваться S3. Примеры настройки в документации. А та же различные облачные платформы.

Для загрузки файлов через tus используется клиент. Он есть практически под все языки программирования. Вот например на JavaScript - tus-js-client. Там же примеры использования. Нам сисадминам ближе python, так что будем использовать его:
# pip3 install -U tus.py
# tus-upload soft.rpm http://192.168.13.123:1080/files/
Залили файл soft.rpm через запущенный tusd сервер. В консоль получили ссылку, по которой можно скачать этот файл.

Tusd сам поддерживает работу по tls. При желании его можно запустить за прокси сервером. Примеры есть в FAQ.

Продукт достаточно известный в определённых кругах и много кем используется. Например, Vimeo. На него можно лить файлы через tus-client. К сожалению, я не нашёл какой-то готовой реализации файлового обменника на базе tus. Так что готовую реализацию под себя придётся писать самостоятельно, если потребуется.

#сервис

​​Продолжаю тему безопасности и бесплатных песочниц. В комментариях посоветовали сервис any.run. Я попробовал его и очень проникся. Классная штука. Сейчас расскажу, как он работает.

После регистрации, для которой нужен только email, вам дают доступ к виртуальной машине (проц i5, 4G оперативы), на которой вы можете запускать всё, что угодно. Эта виртуальная машина является песочницей для анализа действий запущенных программ. Выполняет полный анализ активности и поиск вредоносов.

Работает всё просто и чётко. После регистрации показывают наглядное обучение, чтобы сразу было понятно, как пользоваться сервисом. По сути вы получаете виртуальную машину на Windows с управлением через браузер.

Понятное дело, что такой сервис не может быть полностью бесплатным, поэтому у него есть существенные ограничения, если вы не хотите за него платить. В бесплатном тарифном плане следующие ограничения:
- максимальный размер исследуемого файла 16 мб;
- система только Windows 7 x32;
- анализ активности программы в течении 60 секунд после запуска.

Такой штукой можно и пользователей (родителей, жену) обучить пользоваться, чтобы проверять файлы из почты или скачанные документы из интернета, типа шаблонов для Word или каких-то pdf.

#security