Я на днях писал про программу для построения съемы локальной сети Scanopy. И так совпало, а может и не совпало, а авторы читают мой канал, что мне написали авторы программы 10-Strike LANState. У них вышла бесплатная Pro версия на 25 хостов, которой раньше не существовало. Были только платные.
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#мониторинг #отечественное
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#мониторинг #отечественное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍94👎23
Для тех, кто работал с OpenVPN, привычен метод аутентификации на основе клиентских сертификатов, который используется там по умолчанию. В веб сервере Angie ровно эти же сертификаты можно использовать для аутентификации клиентов при доступе к закрытым сервисам.
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
Создаём свой CA:
По умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
Для передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
Передаём
Перезапускаю веб сервер:
Захожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
Эти команды обновят файл отзывов
Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#angie
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
# apt install easy-rsaСоздаём свой CA:
# make-cadir /etc/angie/easy-rsa# cd /etc/angie/easy-rsa# ./easyrsa init-pki# ./easyrsa build-caПо умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
vars параметр:set_var EASYRSA_CERT_EXPIRE 3650Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
set_var EASYRSA_CRL_DAYS 365Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
# ./easyrsa build-server-full server nopass# cp /etc/angie/easy-rsa/pki/issued/server.crt /etc/angie# cp /etc/angie/easy-rsa/pki/private/server.key /etc/angie# ./easyrsa build-client-full client01 nopassДля передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
# openssl pkcs12 -export -in /etc/angie/easy-rsa/pki/issued/client01.crt -inkey /etc/angie/easy-rsa/pki/private/client01.key -out client01.p12Передаём
client01.p12 клиенту. Готовим конфигурацию виртуального сервера Angie. Показываю на примере конфигурации default.conf с доступом по IP:server { listen 443 ssl; server_name localhost; access_log /var/log/angie/host.access.log main; ssl_certificate /etc/angie/server.crt; ssl_certificate_key /etc/angie/server.key; ssl_client_certificate /etc/angie/easy-rsa/pki/ca.crt; ssl_crl /etc/angie/easy-rsa/pki/crl.pem; ssl_verify_client on; location / { root /usr/share/angie/html; index index.html index.htm; }}Перезапускаю веб сервер:
# angie -t# angie -s reloadЗахожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
client01.p12. Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
# ./easyrsa --batch revoke client01# ./easyrsa gen-crl# angie -s reloadЭти команды обновят файл отзывов
crl.pem, который проверяет веб сервер. Последний надо обязательно заставить перечитать конфигурацию, иначе он не примет изменения. Теперь client01 получит ошибку доступа: "The SSL certificate error".Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#angie
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍137👎3
Как начать с работать Kubernetes: видеокурс Zero to Hero от «Фланта»
Из курса вы получите практические знания, которых будет достаточно для решения большинства типовых задач. Минимум теории и абстрактных схем, максимум реальных кейсов и сценариев.
Планируется 10 видео. Сейчас уже доступно два, после просмотра которых вы сможете настроить работающий K8s-кластер на своём компьютере.
Смотрите курс на удобной вам площадке:
→ YouTube
→ Rutube
→ ВК Видео
Из курса вы получите практические знания, которых будет достаточно для решения большинства типовых задач. Минимум теории и абстрактных схем, максимум реальных кейсов и сценариев.
Планируется 10 видео. Сейчас уже доступно два, после просмотра которых вы сможете настроить работающий K8s-кластер на своём компьютере.
Смотрите курс на удобной вам площадке:
→ YouTube
→ Rutube
→ ВК Видео
👍26👎6
Надвигающиеся выходные - не повод расслабляться, тем более только недавно отдыхали почти две недели. Попалась в Steam игра для сетевых инженеров и сисадминов с подозрительно хорошими отзывами.
Называется Tower Networking Inc. - симулятор интернет провайдера, где нужно управлять сетевой инфраструктурой в жилом комплексе. Вам предстоит прокладывать кабели (👹🙈), настраивать свитчи и роутеры, устранять неисправности и многое другое, что сопровождает подобную деятельность.
Игра выглядит аутентично и атмосферно. Вот некоторые отзывы о ней:
Думаю, по комментариям идею вы поняли😄 . Вот ещё по этой теме, кому мало работы и хочется добрать сисадминства дома:
⇨ ServiceIT: You can do IT
⇨ SysAdmin Odyssey - Back to the office
⇨ IT Specialist Simulator
Интересно, в какой-нибудь другой профессии есть игры, связанные с рабочей деятельностью? Ну там у проктологов игра на тему профессиональной деятельности, в которую только проктологи играют. Или у спортсменов, которая будет интересна только им? В представленные выше игры вряд ли будет играть кто-то, не связанный с информационными технологиями.
🎮 Steam /▶️ Игровой процесс
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#игра
Называется Tower Networking Inc. - симулятор интернет провайдера, где нужно управлять сетевой инфраструктурой в жилом комплексе. Вам предстоит прокладывать кабели (👹🙈), настраивать свитчи и роутеры, устранять неисправности и многое другое, что сопровождает подобную деятельность.
Игра выглядит аутентично и атмосферно. Вот некоторые отзывы о ней:
Шедевральная игра. Она просто обязана быть у всех ценителей. Парадоксально, что её абсолютно не хочется пройти до конца. Ты просто не хочешь, чтобы она заканчивалась. Один единственный минус-как только ты сел играть-ты попал в ловушку времени.
Подойдет любому инженеру, который не умеет отдыхать после реальной галеры.
За 12 часов игры узнал больше чем за пять лет университета.
Слава Омниссии, теперь я могу админить пользователей и поддерживать вечно отказывающую сетку не только на работе, но и дома! Нет, не так, я же на удалёнке, я и так из дома её админю... Я могу ОДНОВРЕМЕННО админить сетку и там, и там! Дурка, ♥️♥️♥️♥️♥️! Будучи системным администратором, я одобряю! Лучшее наглядное, пусть и крайне упрощённое, пособие о работе сисадмина.
Хоть где-то в жизни пригодились знания о настройке циски, которые я получил ещё лет 10 назад.
Думаю, по комментариям идею вы поняли
⇨ ServiceIT: You can do IT
⇨ SysAdmin Odyssey - Back to the office
⇨ IT Specialist Simulator
Интересно, в какой-нибудь другой профессии есть игры, связанные с рабочей деятельностью? Ну там у проктологов игра на тему профессиональной деятельности, в которую только проктологи играют. Или у спортсменов, которая будет интересна только им? В представленные выше игры вряд ли будет играть кто-то, не связанный с информационными технологиями.
🎮 Steam /
———
ServerAdmin:
#игра
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍89👎6
Послушал недавно одно из выступлений с Zabbix Summit 2025 на тему того, за чем нужно следить в самом Zabbix, чтобы системе мониторинга не стало плохо. Выступающий представляет компанию, которая продаёт услугу по аудиту Zabbix, написав для этого свой софт.
В выступлении он рассказал в основном теорию, которая мне показалась интересной в формате списка пунктов, по которым стоит пройтись, чтобы навести порядок у себя, поэтому я решил кратко законспектировать выступление и для себя, и для вас. Какие-то очевидные вещи, типа проверки версии Zabbix и просмотр лога сервера я опустил.
1️⃣ Проверяем все хосты, которые давно недоступны. Либо исправляем проблему с доступом к хосту, либо удаляем его из мониторинга, если больше не нужен.
2️⃣ То же самое относится к неподдерживаемым айтемам. С ними надо разобраться - либо починить, либо отключить, если уже неактуально.
3️⃣ Обратить внимание на все айтемы, где стоят слишком частые проверки, например, чаще 30 секунд. Это может создавать очень серьёзные нагрузки. В выступлении не сказано, но я добавлю, что для некоторых проверок имеет смысл добавить предобработку, которая будет отбрасывать неизменившиеся значения. Для некоторых данных это может серьёзно экономить место в базе. Например тогда, когда вы часто следите за неизменным состоянием айтема, чтобы сразу заметить изменение. Нет смысла хранить результаты всех проверок.
4️⃣ Проверяем триггеры в статусе UNKNOWN. Часто они связаны с неактивными айтемами, но не всегда. Могут быть и другие ошибки.
5️⃣ Проводим аудит стандартных шаблонов и по возможности обновляем устаревшие. Это на самом деле серьёзная и объёмная задача. В последних релизах её стараются упростить и облегчить, но всё равно работы с ней много и часто ручной. Но следить тем не менее надо. Новые шаблоны зачастую удобнее и информативнее. Хотя если вас устраивают старые, то особых проблем не будет, если не обновите. Отдельно напомню, что с обновлением сервера шаблоны автоматически не обновляются.
6️⃣ Если есть возможность запустить мониторинг каких-то хостов через Zabbix Proxy, сделайте это. Это и основной сервер разгружает, и для сильно удалённых хостов делает мониторинг более точным.
7️⃣ Проверьте количество запущенных Pollers, чтобы хватало с запасом. По моему опыту чаще всего по мере роста сервера начинает не хватать стандартных параметров поллера для пингов.
8️⃣ Проверьте размер кэшей в настройке сервера. По мере роста нагрузки кэш надо тоже увеличивать от стандартных значений. Если что, его нехватка будет отражаться в логе сервера.
9️⃣ Проверить настройку шифрования между хостами и сервером. Желательно, чтобы она была настроена, особенно при передаче данных по незащищённым сетям, типа интернета.
От себя я бы добавил ещё несколько моментов, которые опустил выступающий, потому что это будут скорее всего ручные проверки, а у них работает ПО с автоматическими:
▪️Провести аудит того, что пишется в базу данных и что там занимает место. Возможно почистить её, если есть такая потребность. У меня была статья по этой теме - Что занимает место в базе данных Zabbix.
▪️Проверка бэкапов, и технически, и логически. Иногда бэкапят только базу данных, так как основное там. Но если не бэкапить конфигурацию сервера, и тем более внешние скрипты, которые используются, то потом будет очень хлопотно всё это восстанавливать. Я сам не раз на это натыкался. Думаю, зачем бэкапить, и так все скрипты либо на сайте, либо в гите, либо тут в заметках. Но на деле потом всё это собирать и снова запускать очень хлопотно. Лучше все забэкапить и положить рядом с дампом базы.
▪️Аудит оповещений. В них может быть реализована сложная система уведомлений, в которой можно напутать и часть уведомлений потерять или отправить в неработающие каналы. В этом желательно периодически вручную разбираться, удалять лишнее или упрощать. Тем более если вы принимаете в управление настроенную не вами систему.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#zabbix
В выступлении он рассказал в основном теорию, которая мне показалась интересной в формате списка пунктов, по которым стоит пройтись, чтобы навести порядок у себя, поэтому я решил кратко законспектировать выступление и для себя, и для вас. Какие-то очевидные вещи, типа проверки версии Zabbix и просмотр лога сервера я опустил.
От себя я бы добавил ещё несколько моментов, которые опустил выступающий, потому что это будут скорее всего ручные проверки, а у них работает ПО с автоматическими:
▪️Провести аудит того, что пишется в базу данных и что там занимает место. Возможно почистить её, если есть такая потребность. У меня была статья по этой теме - Что занимает место в базе данных Zabbix.
▪️Проверка бэкапов, и технически, и логически. Иногда бэкапят только базу данных, так как основное там. Но если не бэкапить конфигурацию сервера, и тем более внешние скрипты, которые используются, то потом будет очень хлопотно всё это восстанавливать. Я сам не раз на это натыкался. Думаю, зачем бэкапить, и так все скрипты либо на сайте, либо в гите, либо тут в заметках. Но на деле потом всё это собирать и снова запускать очень хлопотно. Лучше все забэкапить и положить рядом с дампом базы.
▪️Аудит оповещений. В них может быть реализована сложная система уведомлений, в которой можно напутать и часть уведомлений потерять или отправить в неработающие каналы. В этом желательно периодически вручную разбираться, удалять лишнее или упрощать. Тем более если вы принимаете в управление настроенную не вами систему.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#zabbix
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Zabbix Watches Everything — But Who Watches Zabbix? by Pascal de Jessey / Zabbix Summit 2025
As infrastructures grow, Zabbix becomes a central piece of the puzzle — but often escapes scrutiny itself. In this talk, Pascal will explore why auditing Zabbix is not a one-time task, but an ongoing process that deserves as much care as the systems it monitors.…
1👍73👎5
Как защитить данные Яндекс 360 для бизнеса и автоматизировать резервное копирование
Потеря рабочих писем и документов— одна из самых болезненных ситуаций для компаний. Удалённые файлы, уход сотрудников, ошибки в доступах напрямую влияют на скорость бизнес-процессов и устойчивость работы команд.
На вебинаре Надежда Гришина из K2 Cloud и Сергей Гринченко из Яндекс 360 для бизнеса расскажут, как использовать ROC Backup для резервного копирования данных сервисов Яндекс 360 и управления доступами.
Ждём ИТ-директоров, руководителей ИТ-инфраструктуры, системных администраторов и специалистов из ритейла, FMCG, фармотрасли, производства, строительства и финансового сектора.
Зарегистрироваться>>
Потеря рабочих писем и документов— одна из самых болезненных ситуаций для компаний. Удалённые файлы, уход сотрудников, ошибки в доступах напрямую влияют на скорость бизнес-процессов и устойчивость работы команд.
На вебинаре Надежда Гришина из K2 Cloud и Сергей Гринченко из Яндекс 360 для бизнеса расскажут, как использовать ROC Backup для резервного копирования данных сервисов Яндекс 360 и управления доступами.
В программе:
🔹Как сервисы Яндекс 360 для бизнеса дополняются резервным копированием через ROC Backup
🔹Практические сценарии использования ROC Backup
🔹Где хранить бэкап — в облаке или локально
🔹Как настроить политики резервного копирования и разграничить доступ
Ждём ИТ-директоров, руководителей ИТ-инфраструктуры, системных администраторов и специалистов из ритейла, FMCG, фармотрасли, производства, строительства и финансового сектора.
Зарегистрироваться>>
👍12👎3
Очередная подборка статей авторов, которые согласились в ней участвовать. Кто не понимает, о чём идёт речь, может прочитать прошлые публикации по этой теме (раз, два).
⇨ RustDesk. Удаленный доступ через ретранслятор на собственном сервере
Настройка популярного open source сервера RustDesk для организации удалённого доступа к управляемым машинам.
⇨ Как настроить двухфакторную аутентификацию (2FA) в Zabbix 7.0
Подробная статья про настройку двухфакторной аутентификации в Zabbix, которая появилась не так давно. Для второго фактора используется TOTP и приложение на смартфоне.
⇨ Как создавать отчёты в Zabbix 7.0
Пример настройки автоматических отчётов Zabbix, которые он будет отправлять на почту. Реализация у них, конечно, так себе, но я пользуюсь. Не хватает отчёта не из прошлого, а по текущему состоянию. Не знаю, почему такой возможности не сделали. Наиболее близкий период для отчёта сейчас - прошлый день.
⇨ Как использовать TimescaleDB в Zabbix
Теория и практика по включению TimescaleDB в базе для Zabbix. Если вы только начинаете изучать Zabbix и пока не планируются большие нагрузки и объёмы, рекомендую не торопиться включать TimescaleDB. Это усложняет эксплуатацию системы, а для небольших серверов мониторинга не имеет принципиального значения. Можно спокойно и без TimescaleDB обойтись. Когда реально поймёте, что надо, установите.
⇨ Как увеличить системные лимиты в Zabbix 7.0
Увеличение системного лимита на файловые дескрипторы.
⇨ Создание собственных образов Docker
Продолжение цикла статей про Docker с примером написания своего образа и публикацией в Docker Hub.
⇨ Проброс каталогов и томов в Docker
Продолжение базы про свои образы в Docker.
⇨ Docker — Оптимизация ваших образов
Теория и практика про слои в Docker. Дополню от себя эту тему парой полезных инструментов: Hadolint и Dockle. Они в том числе дают советы по организации слоёв в контейнере.
⇨ Создание шаблона ВМ с cloud-init в Proxmox
Подготовка шаблона для cloud-init с помощью команд с гипервизора, изменяющих параметры VM и выполняющие команды внутри настраиваемой системы через преобразование qcow2 файла. То есть мы готовим систему и шаблон для cloud-init вообще без запуска настраиваемой виртуальной машины.
⇨ Создание инфраструктуры в Proxmox с помощью Terraform или OpenTofu
Большой материал по управлению Proxmox с помощью Terraform. Terraform сейчас - база для управления инфраструктурой. ❗️Если не знакомы с ним, обязательно изучайте.
⇨ Почему многие IT специалисты так любят Vim?
Рассуждения автора на тему Vim.
⇨ Crowdsec BGP Bouncer (Crowdsec -> Bird -> Mikrotik)
Интересный материал по интеграции Mikrotik c Crowdsec. Автор сделал публикацию на форуме и поделился со мной ссылкой. Мне материал понравился, поэтому добавил его в подборку.
⇨ Не запускается Zabbix Agent Win2019
Проблема совместимости Zabbix Agent и OpenVPN-ГОСТ. Пример статьи, на которых учатся ИИ решать проблемы вопрошающих. Интересно, как в будущем будут обходиться без них? Сама ИИ не догадается до решения.
⇨ Linux. Утилиты. Нестандартные. auditd, auditctl, ausearch
Пример настройки популярного инструмента для аудита в Linux - auditd. Иногда использую его для разных задач.
⇨ Лучшие self-hosted приложения, появившиеся в 2025 году
Подборка автора, в которую вошли: Pangolin, Papra, TinyAuth, Zerobyte. Последняя заинтересовала. Это обёртка с веб интерфейсом над Restic. Надо будет попробовать.
⇨ Лучший менеджер закладок: Linkwarden или Karakeep
Сравнение self-hosted менеджеров закладок. Я настраивал и пытался пользоваться подобными сервисами, про какие-то писал тут, но всё время бросал их. Мне хватает встроенных в браузер.
⇨ Безопасная передача файлов с помощью Nginx
Решение специфичной задачи по передаче файлов с множества серверов из закрытого контура на внешний сервер для дальнейшей обработки.
⇨ Как обойти ограничение на загрузку Microsoft Office
Обход ограничения на загрузку Microsoft Office с помощью онлайн установщика. Там, оказывается, есть нюансы и просто включить VPN не поможет.
#статьи
⇨ RustDesk. Удаленный доступ через ретранслятор на собственном сервере
Настройка популярного open source сервера RustDesk для организации удалённого доступа к управляемым машинам.
⇨ Как настроить двухфакторную аутентификацию (2FA) в Zabbix 7.0
Подробная статья про настройку двухфакторной аутентификации в Zabbix, которая появилась не так давно. Для второго фактора используется TOTP и приложение на смартфоне.
⇨ Как создавать отчёты в Zabbix 7.0
Пример настройки автоматических отчётов Zabbix, которые он будет отправлять на почту. Реализация у них, конечно, так себе, но я пользуюсь. Не хватает отчёта не из прошлого, а по текущему состоянию. Не знаю, почему такой возможности не сделали. Наиболее близкий период для отчёта сейчас - прошлый день.
⇨ Как использовать TimescaleDB в Zabbix
Теория и практика по включению TimescaleDB в базе для Zabbix. Если вы только начинаете изучать Zabbix и пока не планируются большие нагрузки и объёмы, рекомендую не торопиться включать TimescaleDB. Это усложняет эксплуатацию системы, а для небольших серверов мониторинга не имеет принципиального значения. Можно спокойно и без TimescaleDB обойтись. Когда реально поймёте, что надо, установите.
⇨ Как увеличить системные лимиты в Zabbix 7.0
Увеличение системного лимита на файловые дескрипторы.
⇨ Создание собственных образов Docker
Продолжение цикла статей про Docker с примером написания своего образа и публикацией в Docker Hub.
⇨ Проброс каталогов и томов в Docker
Продолжение базы про свои образы в Docker.
⇨ Docker — Оптимизация ваших образов
Теория и практика про слои в Docker. Дополню от себя эту тему парой полезных инструментов: Hadolint и Dockle. Они в том числе дают советы по организации слоёв в контейнере.
⇨ Создание шаблона ВМ с cloud-init в Proxmox
Подготовка шаблона для cloud-init с помощью команд с гипервизора, изменяющих параметры VM и выполняющие команды внутри настраиваемой системы через преобразование qcow2 файла. То есть мы готовим систему и шаблон для cloud-init вообще без запуска настраиваемой виртуальной машины.
⇨ Создание инфраструктуры в Proxmox с помощью Terraform или OpenTofu
Большой материал по управлению Proxmox с помощью Terraform. Terraform сейчас - база для управления инфраструктурой. ❗️Если не знакомы с ним, обязательно изучайте.
⇨ Почему многие IT специалисты так любят Vim?
Рассуждения автора на тему Vim.
⇨ Crowdsec BGP Bouncer (Crowdsec -> Bird -> Mikrotik)
Интересный материал по интеграции Mikrotik c Crowdsec. Автор сделал публикацию на форуме и поделился со мной ссылкой. Мне материал понравился, поэтому добавил его в подборку.
⇨ Не запускается Zabbix Agent Win2019
Проблема совместимости Zabbix Agent и OpenVPN-ГОСТ. Пример статьи, на которых учатся ИИ решать проблемы вопрошающих. Интересно, как в будущем будут обходиться без них? Сама ИИ не догадается до решения.
⇨ Linux. Утилиты. Нестандартные. auditd, auditctl, ausearch
Пример настройки популярного инструмента для аудита в Linux - auditd. Иногда использую его для разных задач.
⇨ Лучшие self-hosted приложения, появившиеся в 2025 году
Подборка автора, в которую вошли: Pangolin, Papra, TinyAuth, Zerobyte. Последняя заинтересовала. Это обёртка с веб интерфейсом над Restic. Надо будет попробовать.
⇨ Лучший менеджер закладок: Linkwarden или Karakeep
Сравнение self-hosted менеджеров закладок. Я настраивал и пытался пользоваться подобными сервисами, про какие-то писал тут, но всё время бросал их. Мне хватает встроенных в браузер.
⇨ Безопасная передача файлов с помощью Nginx
Решение специфичной задачи по передаче файлов с множества серверов из закрытого контура на внешний сервер для дальнейшей обработки.
⇨ Как обойти ограничение на загрузку Microsoft Office
Обход ограничения на загрузку Microsoft Office с помощью онлайн установщика. Там, оказывается, есть нюансы и просто включить VPN не поможет.
#статьи
Telegram
ServerAdmin.ru
Решил провести небольшой эксперимент и поддержать авторов, которые ведут блоги по IT тематике. Думаю, среди читателей моего канала такие найдутся. В конечном счёте цель написания статей в публичном доступе - их прочтение другими людьми. Я хочу попробовать…
2👍59👎1
На днях проскочила новость о том, что Let's Encrypt запускает выпуск сертификатов на IP адреса. Меня это сразу заинтересовало, так как давно думал, почему этого нельзя сделать. Мне нередко хотелось выпустить сертификат на IP адрес, чтобы нормально работал запущенный на нём сервис, для которого нет необходимости делать доменное имя.
Сейчас многий софт без TLS и доверенного сертификата не хочет подключаться в принципе. Если выпускаешь самоподписанный сертификат, то надо настраивать доверие через передачу сертификата CA на целевую машину. Всё это создаёт неудобства, особенно в тестовой среде.
И вот теперь эта проблема решена. Можно взять виртуалку с внешним IP адресом и выпустить для него подтверждённый сертификат. Я сразу же решил проверить, как это работает.
Мне больше всего нравится certbot как клиент для взаимодействия с Let's Encrypt, хотя я пробовал и использовал все известные клиенты. К сожалению, у него пока не вышла стабильная версия с поддержкой этой новой функциональности. Проверял версию 4.0.0 из пакетов Debian 13, и самую свежую 5.2.2 из docker hub. Нет поддержки новых сертификатов. При запросе ошибка:
Сразу показываю рабочий вариант с использованием acme.sh. От установки, до выпуска сертификата:
Получаем набор файлов для использования по назначению:
Устанавливаем веб сервер, прописываем там в виде доменного имени IP адрес, подключаем этот сертификат. Пример для Angie/Nginx:
Рисуем примерно такую конфигурацию для доступа по IP адресу:
Заходим по HTTPS на IP адрес сервера и видим действительный сертификат. Никаких предупреждений.
Сертификат выдаётся менее чем на 7 дней, так что нужно внимательно следить за автоматическим обновлением. Описанных в заметке настроек достаточно для этого. Acme.sh добавил задание в cron пользователя, будет запускаться раз в сутки.
Удобная и функциональная возможность. Берите на вооружение. Не знаю, поддерживает ли получение таких сертификатов Angie напрямую, через свой встроенный клиент. Я не проверял. Если у кого-то есть информация, поделитесь.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#webserver #angie #nginx
Сейчас многий софт без TLS и доверенного сертификата не хочет подключаться в принципе. Если выпускаешь самоподписанный сертификат, то надо настраивать доверие через передачу сертификата CA на целевую машину. Всё это создаёт неудобства, особенно в тестовой среде.
И вот теперь эта проблема решена. Можно взять виртуалку с внешним IP адресом и выпустить для него подтверждённый сертификат. Я сразу же решил проверить, как это работает.
Мне больше всего нравится certbot как клиент для взаимодействия с Let's Encrypt, хотя я пробовал и использовал все известные клиенты. К сожалению, у него пока не вышла стабильная версия с поддержкой этой новой функциональности. Проверял версию 4.0.0 из пакетов Debian 13, и самую свежую 5.2.2 из docker hub. Нет поддержки новых сертификатов. При запросе ошибка:
The Let's Encrypt certificate authority will not issue certificates for a bare IP address.
Сразу показываю рабочий вариант с использованием acme.sh. От установки, до выпуска сертификата:
# git clone https://github.com/acmesh-official/acme.sh.git# cd ./acme.sh# ./acme.sh --install -m zeroxzed@gmail.com# ./acme.sh --issue -d 85.143.175.116 --standalone --server letsencrypt --certificate-profile shortlivedПолучаем набор файлов для использования по назначению:
◽️ ~/.acme.sh/85.143.175.116_ecc/85.143.175.116.cer◽️ ~/.acme.sh/85.143.175.116_ecc/85.143.175.116.key◽️ ~/.acme.sh/85.143.175.116_ecc/fullchain.cerУстанавливаем веб сервер, прописываем там в виде доменного имени IP адрес, подключаем этот сертификат. Пример для Angie/Nginx:
# mkdir -p /etc/nginx/tls# ./acme.sh --install-cert -d 85.143.175.116 --key-file /etc/nginx/tls/85.143.175.116.key --fullchain-file /etc/nginx/tls/85.143.175.116.cer --reloadcmd "systemctl reload nginx"Рисуем примерно такую конфигурацию для доступа по IP адресу:
server {
listen 80 default_server;
listen 443 ssl default_server;
ssl_certificate /etc/nginx/tls/85.143.175.116.cer;
ssl_certificate_key /etc/nginx/tls/85.143.175.116.key;
root /var/www/html;
index index.html index.htm index.nginx-debian.html;
server_name _;
location / {
try_files $uri $uri/ =404;
}
}Заходим по HTTPS на IP адрес сервера и видим действительный сертификат. Никаких предупреждений.
Сертификат выдаётся менее чем на 7 дней, так что нужно внимательно следить за автоматическим обновлением. Описанных в заметке настроек достаточно для этого. Acme.sh добавил задание в cron пользователя, будет запускаться раз в сутки.
Удобная и функциональная возможность. Берите на вооружение. Не знаю, поддерживает ли получение таких сертификатов Angie напрямую, через свой встроенный клиент. Я не проверял. Если у кого-то есть информация, поделитесь.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#webserver #angie #nginx
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍192👎1
DevOps-инженер — следующий шаг в карьере сисадмина
Вы уже умеете администрировать системы. Добавьте навыки разработки — и откроете дверь в профессию, где спрос значительно превышает предложение.
На курсе Нетологии «DevOps-инженер с нуля» вы будете перенимать опыт у экспертов из ведущих компаний: Яндекса, VK, Alibaba Group. В течение всего обучения сможете бесплатно пользоваться Yandex Cloud.
На курсе вы:
- научитесь разворачивать кластер Kubernetes;
- поймёте, как работать с Docker и Docker Compose;
- разберётесь в процессах CI/CD;
- получите навыки мониторинга и логирования инфраструктуры;
- подготовите дипломный проект в Yandex Cloud.
А ещё освоите ispmanager: получите 3 месяца доступа к панели управления, +1 проект в портфолио и приоритет при отборе на вакансии партнёра.
Сейчас на курс действует скидка 40%. Записаться
Реклама. ООО “Нетология” ОГРН 1207700135884 Erid: 2VSb5wJ85RT
Вы уже умеете администрировать системы. Добавьте навыки разработки — и откроете дверь в профессию, где спрос значительно превышает предложение.
На курсе Нетологии «DevOps-инженер с нуля» вы будете перенимать опыт у экспертов из ведущих компаний: Яндекса, VK, Alibaba Group. В течение всего обучения сможете бесплатно пользоваться Yandex Cloud.
На курсе вы:
- научитесь разворачивать кластер Kubernetes;
- поймёте, как работать с Docker и Docker Compose;
- разберётесь в процессах CI/CD;
- получите навыки мониторинга и логирования инфраструктуры;
- подготовите дипломный проект в Yandex Cloud.
А ещё освоите ispmanager: получите 3 месяца доступа к панели управления, +1 проект в портфолио и приоритет при отборе на вакансии партнёра.
Сейчас на курс действует скидка 40%. Записаться
Реклама. ООО “Нетология” ОГРН 1207700135884 Erid: 2VSb5wJ85RT
👎16👍5
Судя по прошедшему в этом году опросу на тему ОС на рабочей машине, у 24% ответивших это Linux, что в целом немало. Мне лично интересно узнать, какое окружение рабочего стола (DE, Desktop Environment) на сегодняшний день наиболее развито, популярно.
В первую очередь на ум приходит Gnome. Но сколько я им пользовался, всегда не нравилось. Не знаю, в чём тут дело. Может просто непривычно, а может он реально неудобен. Постоянно на Linux в качестве рабочей станции я никогда не работал, на сервера тоже DE практически никогда не ставлю. Весь мой опыт ситуативный и очень малый.
Виндузятнику больше привычно KDE чисто визуально, но оно как-будто всё время недоделанное, то тут, то там что-то не работает, вот-вот доработают и так постоянно. На сервер если и нужно было что-то ставить, то ставил чаще всего XFCE.
Меня в основном интересует, чем лучше сейчас пользоваться, чтобы иметь минимум проблем с настройкой, поддержкой, функциональностью. У вас какая DE на рабочей машине? Опрос ниже.
👇👇👇👇👇👇👇
#опрос
В первую очередь на ум приходит Gnome. Но сколько я им пользовался, всегда не нравилось. Не знаю, в чём тут дело. Может просто непривычно, а может он реально неудобен. Постоянно на Linux в качестве рабочей станции я никогда не работал, на сервера тоже DE практически никогда не ставлю. Весь мой опыт ситуативный и очень малый.
Виндузятнику больше привычно KDE чисто визуально, но оно как-будто всё время недоделанное, то тут, то там что-то не работает, вот-вот доработают и так постоянно. На сервер если и нужно было что-то ставить, то ставил чаще всего XFCE.
Меня в основном интересует, чем лучше сейчас пользоваться, чтобы иметь минимум проблем с настройкой, поддержкой, функциональностью. У вас какая DE на рабочей машине? Опрос ниже.
👇👇👇👇👇👇👇
#опрос
Telegram
ServerAdmin.ru
1️⃣ Какая основная операционная система установлена на вашем рабочем компьютере или ноутбуке?
Windows 💻 / Linux 🐧 / MacOS 🍏 / Другая
Windows 💻 / Linux 🐧 / MacOS 🍏 / Другая
👍18👎1
Какое DE (Desktop Environment, окружение рабочего стола) вы используете на рабочей машине с Linux?
Anonymous Poll
30%
GNOME
31%
KDE Plasma
14%
Cinnamon
8%
MATE
0%
Deepin DE
15%
XFCE
2%
LXQt
0%
Budgie
7%
Fly (Astra Linux)
14%
Другое
👍38👎2
Одним из ключевых сервисов в инфраструктуре является DNS. Он же и наиболее простой в настройке, особенно если речь идёт о локальном кэширующем и рекурсивном DNS сервере. При этом его отказ может в один момент парализовать всю работу.
Мне один раз досталась в наследство компания, где периодически падал локальный DNS сервер. Когда это случилось первый раз, было стрёмно. Я ещё только изучал инфраструктуру. Там и кластер виртуализации был, и DRBD диски, и домен на Samba. Разом всё сломалось, мониторинг спамит, пользователи жалуются техподдержке, она теребит меня. Быстро догадался зайти по IP на сервер и перезапустить тогда ещё использовавшийся Bind, если не ошибаюсь. Потом уже всё перенастроил, но Bind успел упасть ещё пару раз. На серваке, где он работал, как потом выяснилось, банально кончалась память.
Сам я потом тоже использовал какое-то время Bind, потом перешёл на DNSmasq, если в инфре была винда, то использовал её DNS сервер, если есть железный роутер, то DNS сервер обычно на нём. На базе DNSmasq собран небезызвестный Pi-hole. Я немного пользовался им, даже запускал его в контейнере на Mikrotik. В итоге отказался, так как всё это ненадёжно работало на моём железе.
Длинная подводка получилась. Рассказать хотел о новом для меня DNS сервере - Technitium DNS. Впервые увидел его в недавнем обзоре. По описанию понравилось, поэтому решил попробовать. Особенно привлекла простая возможность собрать полноценный (но однонаправленный) кластер. Я всё это развернул у себя, в том числе и кластер, и протестировал. DNS сервер понравился. Думаю, что при необходимости буду использовать именно его, если нужен будет сервер с веб панелью управления, статистикой, разграничением доступа, блокировками по готовым спискам и т.д.
Technitium DNS - современный сервер, который поддерживает всевозможные технологии и настройки:
▪️DNS-over-TLS, DNS-over-HTTPS, and DNS-over-QUIC, DNSSEC.
▪️Блокировки по готовым спискам доменов.
▪️Быстрый запуск через готовый Docker контейнер (есть и другие способы).
▪️Расширение функциональности через встроенный магазин приложений (может, к примеру, логи запросов писать в MySQL).
▪️Встроенный DHCP сервер.
▪️Управление доступом на основе ролей (RBAC).
▪️API с доступом по токенам.
▪️Поддержка работы через HTTP и SOCKS5 прокси.
В этом сервере есть всё, что можно только придумать и желать от современного программного продукта. Я пробежался по огромному списку возможностей и не придумал, чего там не хватает.
При этом, всё это настраивается очень просто, особенно в базовой функциональности. Я развернул на двух нодах и собрал сервер в кластер. Использовал следующий docker-compose.yml, изменив только имя хостов:
Запустил, зашёл на веб интерфейс http://server-ip:5380/, собрал в кластер, настроил списки блокировки и другие настройки. Подключил нескольким пользователям. Проверил - отлично работает, никаких проблем не возникло. Выключил одну ноду, кластер продолжил работать на второй, запросы резолвил.
Продукт однозначно хорош. Я не знаю, что сейчас есть лучше для рекурсивного кэширующего DNS сервера. Если знаете - подскажите.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#dns
Мне один раз досталась в наследство компания, где периодически падал локальный DNS сервер. Когда это случилось первый раз, было стрёмно. Я ещё только изучал инфраструктуру. Там и кластер виртуализации был, и DRBD диски, и домен на Samba. Разом всё сломалось, мониторинг спамит, пользователи жалуются техподдержке, она теребит меня. Быстро догадался зайти по IP на сервер и перезапустить тогда ещё использовавшийся Bind, если не ошибаюсь. Потом уже всё перенастроил, но Bind успел упасть ещё пару раз. На серваке, где он работал, как потом выяснилось, банально кончалась память.
Сам я потом тоже использовал какое-то время Bind, потом перешёл на DNSmasq, если в инфре была винда, то использовал её DNS сервер, если есть железный роутер, то DNS сервер обычно на нём. На базе DNSmasq собран небезызвестный Pi-hole. Я немного пользовался им, даже запускал его в контейнере на Mikrotik. В итоге отказался, так как всё это ненадёжно работало на моём железе.
Длинная подводка получилась. Рассказать хотел о новом для меня DNS сервере - Technitium DNS. Впервые увидел его в недавнем обзоре. По описанию понравилось, поэтому решил попробовать. Особенно привлекла простая возможность собрать полноценный (но однонаправленный) кластер. Я всё это развернул у себя, в том числе и кластер, и протестировал. DNS сервер понравился. Думаю, что при необходимости буду использовать именно его, если нужен будет сервер с веб панелью управления, статистикой, разграничением доступа, блокировками по готовым спискам и т.д.
Technitium DNS - современный сервер, который поддерживает всевозможные технологии и настройки:
▪️DNS-over-TLS, DNS-over-HTTPS, and DNS-over-QUIC, DNSSEC.
▪️Блокировки по готовым спискам доменов.
▪️Быстрый запуск через готовый Docker контейнер (есть и другие способы).
▪️Расширение функциональности через встроенный магазин приложений (может, к примеру, логи запросов писать в MySQL).
▪️Встроенный DHCP сервер.
▪️Управление доступом на основе ролей (RBAC).
▪️API с доступом по токенам.
▪️Поддержка работы через HTTP и SOCKS5 прокси.
В этом сервере есть всё, что можно только придумать и желать от современного программного продукта. Я пробежался по огромному списку возможностей и не придумал, чего там не хватает.
При этом, всё это настраивается очень просто, особенно в базовой функциональности. Я развернул на двух нодах и собрал сервер в кластер. Использовал следующий docker-compose.yml, изменив только имя хостов:
services:
dns-server:
container_name: technitium-01
hostname: technitium-01
image: technitium/dns-server:latest
ports:
- "5380:5380/tcp" # Web console (HTTP)
- "53:53/udp" # DNS service
- "53:53/tcp" # DNS service
- "53443:53443/tcp" # Web console (HTTPS)
# - "853:853/udp" # DNS-over-QUIC
# - "853:853/tcp" # DNS-over-TLS
# - "443:443/udp" # DNS-over-HTTPS (HTTP/3)
# - "443:443/tcp" # DNS-over-HTTPS (HTTP/1.1, HTTP/2)
# - "67:67/udp" # DHCP service
environment:
- DNS_SERVER_DOMAIN=home.local
- DNS_SERVER_ADMIN_PASSWORD=your_password
- DNS_SERVER_PREFER_IPV6=false
- DNS_SERVER_RECURSION=AllowOnlyForPrivateNetworks
- DNS_SERVER_FORWARDERS=62.76.76.62,77.88.8.1,62.76.62.76,77.88.8.8
volumes:
- ./config:/etc/dns
restart: unless-stopped
sysctls:
- net.ipv4.ip_local_port_range=1024 65000
Запустил, зашёл на веб интерфейс http://server-ip:5380/, собрал в кластер, настроил списки блокировки и другие настройки. Подключил нескольким пользователям. Проверил - отлично работает, никаких проблем не возникло. Выключил одну ноду, кластер продолжил работать на второй, запросы резолвил.
Продукт однозначно хорош. Я не знаю, что сейчас есть лучше для рекурсивного кэширующего DNS сервера. Если знаете - подскажите.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#dns
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍75👎3