Одним из самых популярных, если не самый популярный, программных шлюзов является pfSense. Хотел тут оставить ссылку на заметку о нём, но оказалось, что её никогда не было. Это очень старое, проверенное временем решение на базе FreeBSD - программный шлюз с файрволом, который настраивается и управляется через веб интерфейс.
Недавно знакомый попросил скачать образ, так как без VPN он недоступен, и у него не получалось скачать. Прислал ссылку. Я зашёл по ссылке и ничего не понял. Сайт вроде тот. Жму кнопку Download и попадаю в магазин Netgate. Не понимаю, что тут надо качать.
Пошёл в документацию pfSense, всё там перечитал по установке и понял, что надо каким-то образом оформлять покупку за нулевую стоимость, предварительно зарегистрировавшись и отдав кучу личной информации. Иначе свежий ISO образ с pfSense не получить. Плюнул на это дело и предложил скачивать предыдущую версию, которая существует в виде обычной ссылки для загрузки.
Немного позже разобрался с этим вопросом. Оказалось, что компания Netgate, которая занимается разработкой pfSense, перешла на новую схему распространения продукта. Вместо прямой загрузки ISO образа, теперь надо покупать Netgate Installer в их фирменном магазине. Этот установщик во время установки требует подключение к интернету для загрузки компонентов системы.
Несмотря на то, что продаётся этот установщик за 0$, оформить покупку всё равно не очень просто. Во-первых, там надо зарегистрироваться, а во время оформления заказа ещё и адрес с телефоном указать. Во-вторых, там заблокирован доступ с IP адресов РФ, причём так, что я даже через американский VPN сейчас зайти не могу.
В связи с этим я бы рекомендовал использовать OPNsense, как наиболее близкий и функциональный аналог. Там посвежее веб интерфейс, никаких ограничений и блокировок загрузки. Идёшь на сайт и качаешь любой подходящий ISO образ. При таких вводных не вижу ни одной причины, почему стоит отдать предпочтение pfSense, а не OPNsense.
Походу Netgate начала свою бесплатную систему потихоньку хоронить. Такой способ распространения многим не понравится. Люди будут отказываться в пользу аналогов. Кратко упомяну ещё несколько бесплатных программных шлюзов:
▪️VyOS (только CLI, без веб интерфейса)
▪️IPFire
▪️OpenWrt
Эти шлюзы я сам в то или иное время устанавливал и настраивал. Есть ещё те, что я лично не тестировал. Плюс, они частично бесплатные, то есть существуют более функциональные платные редакции, а те, что бесплатны, сильно урезаны. Но если ограничения для вас будут некритичны, то можно пользоваться:
◽️RouterOS
◽️ИКС
◽️Ideco
◽️Sophos Firewall Home Edition
◽️Endian Firewall Community
◽️Smoothwall Express
Был ещё неплохой проект ClearOS, которым я пользовался, писал статьи, заметки по нему. Но сейчас он мёртв. Больше не развивается, хоть сайт и живой. На вид не понятно, что с ним какие-то проблемы. Использовать не рекомендую.
Если кто-то использовал Endian Firewall Community и Smoothwall Express, дайте, пожалуйста, обратную связь по ним. Я их лично не видел. Думаю попробовать, но не хочется время тратить, если это ерунда и существенно хуже того же OPNsense.
#gateway
Недавно знакомый попросил скачать образ, так как без VPN он недоступен, и у него не получалось скачать. Прислал ссылку. Я зашёл по ссылке и ничего не понял. Сайт вроде тот. Жму кнопку Download и попадаю в магазин Netgate. Не понимаю, что тут надо качать.
Пошёл в документацию pfSense, всё там перечитал по установке и понял, что надо каким-то образом оформлять покупку за нулевую стоимость, предварительно зарегистрировавшись и отдав кучу личной информации. Иначе свежий ISO образ с pfSense не получить. Плюнул на это дело и предложил скачивать предыдущую версию, которая существует в виде обычной ссылки для загрузки.
Немного позже разобрался с этим вопросом. Оказалось, что компания Netgate, которая занимается разработкой pfSense, перешла на новую схему распространения продукта. Вместо прямой загрузки ISO образа, теперь надо покупать Netgate Installer в их фирменном магазине. Этот установщик во время установки требует подключение к интернету для загрузки компонентов системы.
Несмотря на то, что продаётся этот установщик за 0$, оформить покупку всё равно не очень просто. Во-первых, там надо зарегистрироваться, а во время оформления заказа ещё и адрес с телефоном указать. Во-вторых, там заблокирован доступ с IP адресов РФ, причём так, что я даже через американский VPN сейчас зайти не могу.
В связи с этим я бы рекомендовал использовать OPNsense, как наиболее близкий и функциональный аналог. Там посвежее веб интерфейс, никаких ограничений и блокировок загрузки. Идёшь на сайт и качаешь любой подходящий ISO образ. При таких вводных не вижу ни одной причины, почему стоит отдать предпочтение pfSense, а не OPNsense.
Походу Netgate начала свою бесплатную систему потихоньку хоронить. Такой способ распространения многим не понравится. Люди будут отказываться в пользу аналогов. Кратко упомяну ещё несколько бесплатных программных шлюзов:
▪️VyOS (только CLI, без веб интерфейса)
▪️IPFire
▪️OpenWrt
Эти шлюзы я сам в то или иное время устанавливал и настраивал. Есть ещё те, что я лично не тестировал. Плюс, они частично бесплатные, то есть существуют более функциональные платные редакции, а те, что бесплатны, сильно урезаны. Но если ограничения для вас будут некритичны, то можно пользоваться:
◽️RouterOS
◽️ИКС
◽️Ideco
◽️Sophos Firewall Home Edition
◽️Endian Firewall Community
◽️Smoothwall Express
Был ещё неплохой проект ClearOS, которым я пользовался, писал статьи, заметки по нему. Но сейчас он мёртв. Больше не развивается, хоть сайт и живой. На вид не понятно, что с ним какие-то проблемы. Использовать не рекомендую.
Если кто-то использовал Endian Firewall Community и Smoothwall Express, дайте, пожалуйста, обратную связь по ним. Я их лично не видел. Думаю попробовать, но не хочется время тратить, если это ерунда и существенно хуже того же OPNsense.
#gateway
👍103👎3
Я анонсировал ранее подборку сайтов IT блогеров со статьями на различные темы, связанные с настройкой и эксплуатацией IT систем. Собралось небольшое сообщество авторов. Полный список сайтов будет в конце. А пока анонс новых статей тех авторов, кто согласился участвовать и прислал свои материалы.
⇨ Принципы работы CrowdSec: коллективная защита серверов
Подробный обзор и настройка CrowdSec - современный аналог Fail2ban. Вполне функциональное решение. Я ещё лет 5 назад его настраивал.
⇨ Установка и настройка CrowdSec в LXC-контейнере вместе с Traefik
Вдогонку по этой же теме ещё одна статья.
⇨ Автоматическая установка виртуальных машин в Proxmox 9.0.3 с помощью Terraform в Docker
Подробное описание работы с Terraform: установка, добавление расширения в VS Code, настройка провайдера, создание виртуальных машин. Хорошая база для малой автоматизации.
⇨ Создание локального зеркала репозиториев с помощью Aptly
Подробная статья про создание собственных репозиториев с помощью Aptly и их публикация через Nginx. Мне кстати, нравится это простое решение. Я именно его использую для этих целей.
⇨ Начальная установка PostgreSQL и pgAdmin в Docker с помощью Docker Compose для новичков. Часть 1
Пошаговая инструкция по быстрому поднятию указанной связки с помощью docker-compose. Я, кстати, не очень люблю pgAdmin, не ставлю его. Вместо него использую DBeaver.
⇨ Логируем подключения VPN пользователей в ocserv
Небольшая инструкция по логированию подключений в ocserv. Простой в настройке и функциональный VPN сервер. В моей заметке по ссылке полная инструкция по настройке с аутентификацией по логину и паролю.
⇨ Как настроить безопасный SFTP-сервер на Windows с OpenSSH
Настройка SFTP соединений в Windows на базе OpenSSH сервера с ограничением пользователей в их каталогах. Интересная реализация. Никогда не приходило в голову настраивать это на Windows. На Linux делал много раз.
⇨ Proxmox VE — настройка сети
Подробный разбор и сравнение сетевых настроек на базе Linux Bridge и Open vSwitch, в том числе создание бондов и настройку VLAN.
⇨ Proxmox SDN: Полное руководство по настройке и использованию
Базовая настройка SDN с типом зоны simple.
⇨ Настройка Firewall в Proxmox
Настройка встроенного Firewall в Proxmox с управлением через web интерфейс. Вообще никогда его не использую, а отдаю предпочтение нативным правилам iptables, которыми управляю через консоль гипервизора. Мне лично так быстрее и удобнее
⇨ Конфигурация Windows Server после установки
Некоторые рекомендации в формате чек-листа по базовой настройке Windows сервера сразу после установки.
⇨ Командная строка Linux, архивирование и сжатие: команды tar, gzip, bzip2, xz, zstd и zip, 7z, rar
Подробная статья с большим количеством примеров по использованию перечисленный архиваторов.
⇨ Генерация статьи на основе транскрипции youtube видео в n8n
Интересный пример по решению конкретной задачи с помощью платформы для автоматизации n8n. Я не раз её упоминал. Интересное решение. Кто не знаком, рекомендую посмотреть и попробовать.
Если кто-то хочет присоединиться к этой подборке, то пишите мне в личные сообщения. Пока список выглядит так:
▪️https://r4ven.me
▪️https://wiki-it.ru
▪️https://www.gurin.ru
▪️https://sysadminhub.ru
▪️https://devopslife.ru
▪️https://bite-byte.ru
▪️https://sysadminium.ru/
▪️https://desoft.ru
▪️https://www.pc360.ru
▪️https://bafista.ru
▪️https://it-experience.ru
▪️https://blogadminday.ru
▪️https://marukhin.ru
▪️https://blog.mons.ws
▪️https://lytkins.ru
▪️https://sysops.host
▪️https://prohomelab.com
#статьи
⇨ Принципы работы CrowdSec: коллективная защита серверов
Подробный обзор и настройка CrowdSec - современный аналог Fail2ban. Вполне функциональное решение. Я ещё лет 5 назад его настраивал.
⇨ Установка и настройка CrowdSec в LXC-контейнере вместе с Traefik
Вдогонку по этой же теме ещё одна статья.
⇨ Автоматическая установка виртуальных машин в Proxmox 9.0.3 с помощью Terraform в Docker
Подробное описание работы с Terraform: установка, добавление расширения в VS Code, настройка провайдера, создание виртуальных машин. Хорошая база для малой автоматизации.
⇨ Создание локального зеркала репозиториев с помощью Aptly
Подробная статья про создание собственных репозиториев с помощью Aptly и их публикация через Nginx. Мне кстати, нравится это простое решение. Я именно его использую для этих целей.
⇨ Начальная установка PostgreSQL и pgAdmin в Docker с помощью Docker Compose для новичков. Часть 1
Пошаговая инструкция по быстрому поднятию указанной связки с помощью docker-compose. Я, кстати, не очень люблю pgAdmin, не ставлю его. Вместо него использую DBeaver.
⇨ Логируем подключения VPN пользователей в ocserv
Небольшая инструкция по логированию подключений в ocserv. Простой в настройке и функциональный VPN сервер. В моей заметке по ссылке полная инструкция по настройке с аутентификацией по логину и паролю.
⇨ Как настроить безопасный SFTP-сервер на Windows с OpenSSH
Настройка SFTP соединений в Windows на базе OpenSSH сервера с ограничением пользователей в их каталогах. Интересная реализация. Никогда не приходило в голову настраивать это на Windows. На Linux делал много раз.
⇨ Proxmox VE — настройка сети
Подробный разбор и сравнение сетевых настроек на базе Linux Bridge и Open vSwitch, в том числе создание бондов и настройку VLAN.
⇨ Proxmox SDN: Полное руководство по настройке и использованию
Базовая настройка SDN с типом зоны simple.
⇨ Настройка Firewall в Proxmox
Настройка встроенного Firewall в Proxmox с управлением через web интерфейс. Вообще никогда его не использую, а отдаю предпочтение нативным правилам iptables, которыми управляю через консоль гипервизора. Мне лично так быстрее и удобнее
⇨ Конфигурация Windows Server после установки
Некоторые рекомендации в формате чек-листа по базовой настройке Windows сервера сразу после установки.
⇨ Командная строка Linux, архивирование и сжатие: команды tar, gzip, bzip2, xz, zstd и zip, 7z, rar
Подробная статья с большим количеством примеров по использованию перечисленный архиваторов.
⇨ Генерация статьи на основе транскрипции youtube видео в n8n
Интересный пример по решению конкретной задачи с помощью платформы для автоматизации n8n. Я не раз её упоминал. Интересное решение. Кто не знаком, рекомендую посмотреть и попробовать.
Если кто-то хочет присоединиться к этой подборке, то пишите мне в личные сообщения. Пока список выглядит так:
▪️https://r4ven.me
▪️https://wiki-it.ru
▪️https://www.gurin.ru
▪️https://sysadminhub.ru
▪️https://devopslife.ru
▪️https://bite-byte.ru
▪️https://sysadminium.ru/
▪️https://desoft.ru
▪️https://www.pc360.ru
▪️https://bafista.ru
▪️https://it-experience.ru
▪️https://blogadminday.ru
▪️https://marukhin.ru
▪️https://blog.mons.ws
▪️https://lytkins.ru
▪️https://sysops.host
▪️https://prohomelab.com
#статьи
ProHomeLab
Crowsdec
Гайды и инструкции по Crowdsec.
👍71👎3
Недавно в одной из статей увидел рассказ про сканер уязвимостей Nuclei. Впервые о нём услышал. По описанию и возможностям он меня заинтересовал. Запомнил его. Позже была заметка про Suricata, SELKS, Wazuh и т.д. В контексте этой темы, думаю, будет уместно рассказать про Nuclei. Этот инструмент дополнит упомянутую связку.
Основные особенности Nuclei:
1️⃣ Высокая скорость работы.
2️⃣ Возможность относительно просто писать для него шаблоны в формате yaml.
Из-за этого этих шаблонов понаписали на все случаи жизни и уязвимости. Сам шаблон представляет из себя описание запроса, сопоставление ответа какому-то правилу и соответственно вывод на основе этого сопоставления. Например, софт какой-то версии является уязвимым. Делаем запрос к нему и спрашиваем версию. Если она соответствует той, что уязвима, значит у нас имеется уязвимый сервис.
Я не буду подробно описывать все возможности Nuclei. Если он вас заинтересовал, то вы без проблем всё найдёте. Там и анализ сайтов, API, интеграция в CI/CD и многое другое.
Просто покажу несколько практических примеров, как его можно быстро начать использовать. Программа представляет из себя одиночный бинарник. Установить можно так:
При первом запуске nuclei сама скачает все доступные шаблоны из своей базы. Решил сразу же по всем шаблонам проверить свой Микротик, который со стороны локалки полностью открыт:
Довольно быстро nuclei собрал всю информацию по устройству. Отчёт на картинке ниже. Ничего критичного не нашёл. Выдал много информации в формате info. Например, наличие routeros-api, открытого порта SSH и аутентификация по нему с помощью пароля.
Среди проблем нашёл одну уровня low - в SSH протоколе используется алгоритм, который признан недостаточно защищённым. Шаблон, который это определил, называется
Если вам не нужна некритичная информация, то все информационные результаты можно исключить, оставив только уровни low, medium, high, critical. Показываю на примере всего сегмента сети (вторая картинка):
Если будете сканировать сайты, веб сервера или любые другие сервисы, где есть ограничение на одновременное количество запросов, то используйте ключ
Придумал себе применение nuclei, которое скорее всего реализую. Потом напишу подробнее. У меня есть набор внешних IP адресов, которые я хочу регулярно проверять. Думаю, что раз в неделю достаточно. Сделаю это с помощью nuclei и nmap, так как хочется ещё полный отчёт по открытым портам. Выглядеть это будет примерно так:
Дальше эти отчёты либо объединяю, либо по отдельности отправляю на почту и Telegram с помощью notify. Там это удобно реализовано через отдельный ключ и загрузку текста сразу из файла:
Вывод nuclei можно сделать в формате json, отправить в Zabbix и там на события high и critical сделать триггер. Тоже подумаю над реализацией, если на практике отчёты nuclei окажутся полезными. Например, отчёты Lynis мне очень нравятся. Постоянно их в Zabbix завожу.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#security
Основные особенности Nuclei:
Из-за этого этих шаблонов понаписали на все случаи жизни и уязвимости. Сам шаблон представляет из себя описание запроса, сопоставление ответа какому-то правилу и соответственно вывод на основе этого сопоставления. Например, софт какой-то версии является уязвимым. Делаем запрос к нему и спрашиваем версию. Если она соответствует той, что уязвима, значит у нас имеется уязвимый сервис.
Я не буду подробно описывать все возможности Nuclei. Если он вас заинтересовал, то вы без проблем всё найдёте. Там и анализ сайтов, API, интеграция в CI/CD и многое другое.
Просто покажу несколько практических примеров, как его можно быстро начать использовать. Программа представляет из себя одиночный бинарник. Установить можно так:
# wget https://github.com/projectdiscovery/nuclei/releases/download/v3.4.10/nuclei_3.4.10_linux_amd64.zip# unzip nuclei_3.4.10_linux_amd64.zip# mv ./nuclei /usr/local/bin/nucleiПри первом запуске nuclei сама скачает все доступные шаблоны из своей базы. Решил сразу же по всем шаблонам проверить свой Микротик, который со стороны локалки полностью открыт:
# nuclei -u 192.168.137.1Довольно быстро nuclei собрал всю информацию по устройству. Отчёт на картинке ниже. Ничего критичного не нашёл. Выдал много информации в формате info. Например, наличие routeros-api, открытого порта SSH и аутентификация по нему с помощью пароля.
Среди проблем нашёл одну уровня low - в SSH протоколе используется алгоритм, который признан недостаточно защищённым. Шаблон, который это определил, называется
ssh-diffie-hellman-logjam. Я ничего нигде не искал, а просто зашёл в папочку с шаблонами и там прочитал описание. По умолчанию они скачиваются в ~/nuclei-templates. Конкретно этот шаблон в директории ~/nuclei-templates/javascript/enumeration/ssh.Если вам не нужна некритичная информация, то все информационные результаты можно исключить, оставив только уровни low, medium, high, critical. Показываю на примере всего сегмента сети (вторая картинка):
# nuclei -u 192.168.137.0/24 -s low,medium,high,criticalЕсли будете сканировать сайты, веб сервера или любые другие сервисы, где есть ограничение на одновременное количество запросов, то используйте ключ
-rl или -rate-limit. Я на своих серверах сразу же бан по IP получал из-за превышения этого лимита. Там десятки потоков одновременно открываются для максимально быстрой проверки.Придумал себе применение nuclei, которое скорее всего реализую. Потом напишу подробнее. У меня есть набор внешних IP адресов, которые я хочу регулярно проверять. Думаю, что раз в неделю достаточно. Сделаю это с помощью nuclei и nmap, так как хочется ещё полный отчёт по открытым портам. Выглядеть это будет примерно так:
# nuclei -l ip-list.txt -s low,medium,high,critical -o nuclei_report.txt# nmap -iL ip-list.txt -p- -T4 -oN nmap_report.txtДальше эти отчёты либо объединяю, либо по отдельности отправляю на почту и Telegram с помощью notify. Там это удобно реализовано через отдельный ключ и загрузку текста сразу из файла:
# notify -data nuclei_report.txt -provider-mail -provider-telegram# notify -data nmap_report.txt -provider-mailВывод nuclei можно сделать в формате json, отправить в Zabbix и там на события high и critical сделать триггер. Тоже подумаю над реализацией, если на практике отчёты nuclei окажутся полезными. Например, отчёты Lynis мне очень нравятся. Постоянно их в Zabbix завожу.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍116👎3
Вчера получил необычное сообщение от хостера в тикет одного из клиентов, от которого холодок по спине пробежал. Я не буду называть хостера, потому что не знаю, насколько это вообще уместно такую переписку на публику выносить. Смысл заметки будет не в обсуждении хостера, потому что тема актуальна вообще для всех. Это может случиться, да думаю и случалось, и с другими.
Суть в том, что у хостера можно быстро развернуть настроенную систему из его шаблона. В целом, это обычная практика. Система сразу получает сетевые настройки, интеграцию с панелью управления, например, для подключения, отключения купленных дополнительно дисков, внешних IP адресов и т.д.
Я использовал шаблон для быстрой установки Proxmox VE. Как оказалось, в этом шаблоне был жёстко зашит кластерный SSH-ключ. А он должен генерироваться уникальный во время установки. Этот ключ использует сам Proxmox для межкластерного взаимодействия. И этот ключ по умолчанию прописан в
Для тех, кто не понимает, что это значит, сразу поясню. Используя этот ключ, можно подключаться к серверу по SSH под правами root.
Хорошо, что я всегда по умолчанию закрываю на файрволе доступ по SSH белыми списками IP адресов. И вам того же советую. Такую подставу я вижу первый раз. Тут, я так понимаю, злую шутку сыграла особенность именно Proxmox. Мало где ещё по умолчанию создаются ключи и добавляются в authorized_keys. Обычно это надо самому делать. Но не в Proxmox.
Подобные вещи некоторые хостеры делают специально, чтобы их сотрудники технической поддержки могли подключаться к серверам клиентов. И это тоже очень плохая практика. По умолчанию так делать нельзя.
Какие из этого можно сделать выводы?
1️⃣ Доступ по SSH надо закрывать, даже если используете аутентификацию по ключам.
2️⃣ Если есть возможность, систему лучше установить из своего образа.
3️⃣ Если установили из образа хостера, то хотя бы бегло проверьте, что там установлено и запущено. И обязательно проверьте ключи в ~/authorized_keys.
4️⃣ Я лично ещё и аутентификацию по паролю включаю. Пароль, разумеется, сложный.
#хостинг
Суть в том, что у хостера можно быстро развернуть настроенную систему из его шаблона. В целом, это обычная практика. Система сразу получает сетевые настройки, интеграцию с панелью управления, например, для подключения, отключения купленных дополнительно дисков, внешних IP адресов и т.д.
Я использовал шаблон для быстрой установки Proxmox VE. Как оказалось, в этом шаблоне был жёстко зашит кластерный SSH-ключ. А он должен генерироваться уникальный во время установки. Этот ключ использует сам Proxmox для межкластерного взаимодействия. И этот ключ по умолчанию прописан в
~/authorized_keys (😱) даже если вы не настраиваете кластер. И этот ключ одинаковый у всех, кто успел сделать установку из этой версии шаблона 🤦 Это фиаско, братан.Для тех, кто не понимает, что это значит, сразу поясню. Используя этот ключ, можно подключаться к серверу по SSH под правами root.
Хорошо, что я всегда по умолчанию закрываю на файрволе доступ по SSH белыми списками IP адресов. И вам того же советую. Такую подставу я вижу первый раз. Тут, я так понимаю, злую шутку сыграла особенность именно Proxmox. Мало где ещё по умолчанию создаются ключи и добавляются в authorized_keys. Обычно это надо самому делать. Но не в Proxmox.
Подобные вещи некоторые хостеры делают специально, чтобы их сотрудники технической поддержки могли подключаться к серверам клиентов. И это тоже очень плохая практика. По умолчанию так делать нельзя.
Какие из этого можно сделать выводы?
#хостинг
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍150👎2
Я не так давно рассказывал про очень простую и наглядную интерпретацию метрики LA (Load Average). Данную тему будет уместно дополнить более современными метриками – PSI (Pressure Stall Information). Это подсистема ядра Linux, которая отслеживает три наиболее важных ресурса:
▪️CPU
▪️Memory
▪️I/O
В отличие от LA, которая показывает очередь процессов, ожидающих выполнение, PSI измеряет время ожидания процессов при получении доступа к ресурсам, что даёт более точное представление о загрузке системы в режиме реального времени. Плюсом, PSI интегрирована в cgroups, что позволяет мониторить нагрузку отдельных служб и контейнеров.
PSI имеет 3 периода измерений: avg10, avg60, avg300. Это время в секундах, то есть 10 секунд, 1 минута и 5 минут. К периодам прилагаются два типа метрик:
🔹some - процент времени, когда хотя бы один процесс ждёт освобождение ресурсов (line indicates the share of time in which at least some tasks are stalled on a given resource)
🔹full - процент времени, когда все активные процессы находятся в ожидании освобождения ресурсов (line indicates the share of time in which all non-idle tasks are stalled on a given resource simultaneously)
Эти метрики можно и нужно использовать в повседневной работе, наравне с привычными LA, disk r/w, iops. В версии htop, начиная с 3.0.0, можно включить их отображение. По умолчанию они не отображаются. Включаются так:
Открываем htop ⇨ F2 ⇨ Meters ⇨ Aviable Meters ⇨ Выбираем нужные метрики, нажатием Enter ⇨ F10 выйти с сохранением.
В недавнем обновлении Proxmox эти метрики появились на стандартном дашборде.
PSI активно используется в systemd-oomd – современной замене OOM Killer. А точнее помощнике. На основе метрик PSI он более избирательно останавливает процессы, а не ждёт, как OOM Killer, когда закончится память, чтобы прибить самого жирного потребителя при прочих равных условиях.
На практике метрики PSI могут быстро помочь определить узкое место в системе. Например, у вас начала тормозить СУБД. Заходите на сервер и видите высокий LA. Но сама по себе эта метрика не даёт никакой конкретики. Может быть чрезмерно нагружен как процессор, так и диск. Рядом метрики cpu some и io some сразу ответят на вопрос, где у вас узкое место. Если оно реально в CPU, то не придётся лезть в дисковую подсистему и смотреть, что там происходит.
Изменение метрик в режиме реального времени позволяют сразу же оценить какие-то свои изменения и посмотреть, как они повлияли на нагрузку. В общем, это полезные метрики, которые имеет смысл по умолчанию выводить в htop. Не знаю, есть ли они в обычном top. Я на все свои сервера без исключения ставлю htop. Очень к нему привык. Там и PSI, и вкладка I/O с активностью диска, и lsof для просмотра открытых файлов, и strace. В общем, очень удобно.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#linux #perfomance
▪️CPU
▪️Memory
▪️I/O
В отличие от LA, которая показывает очередь процессов, ожидающих выполнение, PSI измеряет время ожидания процессов при получении доступа к ресурсам, что даёт более точное представление о загрузке системы в режиме реального времени. Плюсом, PSI интегрирована в cgroups, что позволяет мониторить нагрузку отдельных служб и контейнеров.
PSI имеет 3 периода измерений: avg10, avg60, avg300. Это время в секундах, то есть 10 секунд, 1 минута и 5 минут. К периодам прилагаются два типа метрик:
🔹some - процент времени, когда хотя бы один процесс ждёт освобождение ресурсов (line indicates the share of time in which at least some tasks are stalled on a given resource)
🔹full - процент времени, когда все активные процессы находятся в ожидании освобождения ресурсов (line indicates the share of time in which all non-idle tasks are stalled on a given resource simultaneously)
Эти метрики можно и нужно использовать в повседневной работе, наравне с привычными LA, disk r/w, iops. В версии htop, начиная с 3.0.0, можно включить их отображение. По умолчанию они не отображаются. Включаются так:
Открываем htop ⇨ F2 ⇨ Meters ⇨ Aviable Meters ⇨ Выбираем нужные метрики, нажатием Enter ⇨ F10 выйти с сохранением.
В недавнем обновлении Proxmox эти метрики появились на стандартном дашборде.
PSI активно используется в systemd-oomd – современной замене OOM Killer. А точнее помощнике. На основе метрик PSI он более избирательно останавливает процессы, а не ждёт, как OOM Killer, когда закончится память, чтобы прибить самого жирного потребителя при прочих равных условиях.
На практике метрики PSI могут быстро помочь определить узкое место в системе. Например, у вас начала тормозить СУБД. Заходите на сервер и видите высокий LA. Но сама по себе эта метрика не даёт никакой конкретики. Может быть чрезмерно нагружен как процессор, так и диск. Рядом метрики cpu some и io some сразу ответят на вопрос, где у вас узкое место. Если оно реально в CPU, то не придётся лезть в дисковую подсистему и смотреть, что там происходит.
Изменение метрик в режиме реального времени позволяют сразу же оценить какие-то свои изменения и посмотреть, как они повлияли на нагрузку. В общем, это полезные метрики, которые имеет смысл по умолчанию выводить в htop. Не знаю, есть ли они в обычном top. Я на все свои сервера без исключения ставлю htop. Очень к нему привык. Там и PSI, и вкладка I/O с активностью диска, и lsof для просмотра открытых файлов, и strace. В общем, очень удобно.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#linux #perfomance
4👍144👎2
Последнее время редко захожу в блог Zabbix, так как не вижу интересных для меня статей. Там в основном какие-то общие слова и рекомендации публикуют, либо отчёты с мероприятий. Но одна запись привлекла моё внимание:
⇨ When Generative AI Meets Zabbix
В статье предлагают через вебхуки отправлять триггеры в ИИ, и взаимодействовать с мониторингом на человеческом языке, а не просмотром триггеров и графиков. То есть примерно так:
В три утра вы получаете критическое уведомление на свой телефон. Но вместо просмотра дашбордов и метрик, вы пишите вопрос: "Что случилось с продакшеном?"
- Сервер web-prod-01 съел всю память, а конкретно 94%. Начался дикий жор 15 минут назад вместе с всплеском трафика. Я рекомендую проверить пул подключений к базе данных и рассмотреть возможность перезапуска службы Apache. Хотите, я покажу вам соответствующие логи?
Как вам такая затравочка? Выглядит неплохо. В данном примере используется локальный сервер с бесплатным Gemini AI, который кушает триггеры Заббикса и логи с помощью Winston. Данные в Germini отправляет небольшой скрипт на Python, который использует формат MCP (Model Context Protocol).
Ещё пример из статьи. Меня постоянно спрашивают, как в Zabbix сделать какой-то сводный отчёт по состоянию хостов, чтобы утром на него смотреть:
- Доброе утро, что у нас с инфраструктурой?
- Доброе утро! Все спокойно. 14 активных хостов, 0 критических проблем. На выходных была запланирована перезагрузка сервера proxmox-desarrollo, которая завершилась успешно. Средняя загрузка процессора составляет 23%. Вам нужна подробная информация о какой-либо конкретной системе?
Выглядит всё это интересно. В статье приведены скрипты, с помощью которых реализовано взаимодействие мониторинга и ИИ. Как поднять свой сервер с Gemini тоже можно без проблем найти. То есть потестировать это всё у себя можно относительно просто.
Лично мне не показалось это прям реально полезным. Да, интересно. Возможно актуально для большой инфраструктуры, где всё не очень точно настроено и на инциденты могут валиться десятки и сотни триггеров. Тогда реально выручит вопрос к ИИ, что случилось и кто конкретно первым упал. У меня бывает в одном месте такой шторм на 200-300 триггеров утром, если на самом сервере мониторинга возникнут проблемы с сетью. Иногда это бывает, если хостера штормит. Там много внешних хостов с отправкой метрик через интернет. Но я по характеру триггеров и так понимаю, что проблемы на сервере.
Я сейчас как раз тестирую систему мониторинга, где есть встроенный ИИ-помощник. Надеюсь получится в какой-то более-менее реальной форме его потестировать. Будет скоро полноценная статья про эту систему мониторинга и не только.
Если уже внедряли связку мониторинга и ИИ, то поделитесь, насколько это удобно и полезно на практике. Сейчас на тему ИИ много хайпа и не везде он реально полезен и удобен.
#zabbix #AI
⇨ When Generative AI Meets Zabbix
В статье предлагают через вебхуки отправлять триггеры в ИИ, и взаимодействовать с мониторингом на человеческом языке, а не просмотром триггеров и графиков. То есть примерно так:
В три утра вы получаете критическое уведомление на свой телефон. Но вместо просмотра дашбордов и метрик, вы пишите вопрос: "Что случилось с продакшеном?"
- Сервер web-prod-01 съел всю память, а конкретно 94%. Начался дикий жор 15 минут назад вместе с всплеском трафика. Я рекомендую проверить пул подключений к базе данных и рассмотреть возможность перезапуска службы Apache. Хотите, я покажу вам соответствующие логи?
Как вам такая затравочка? Выглядит неплохо. В данном примере используется локальный сервер с бесплатным Gemini AI, который кушает триггеры Заббикса и логи с помощью Winston. Данные в Germini отправляет небольшой скрипт на Python, который использует формат MCP (Model Context Protocol).
Ещё пример из статьи. Меня постоянно спрашивают, как в Zabbix сделать какой-то сводный отчёт по состоянию хостов, чтобы утром на него смотреть:
- Доброе утро, что у нас с инфраструктурой?
- Доброе утро! Все спокойно. 14 активных хостов, 0 критических проблем. На выходных была запланирована перезагрузка сервера proxmox-desarrollo, которая завершилась успешно. Средняя загрузка процессора составляет 23%. Вам нужна подробная информация о какой-либо конкретной системе?
Выглядит всё это интересно. В статье приведены скрипты, с помощью которых реализовано взаимодействие мониторинга и ИИ. Как поднять свой сервер с Gemini тоже можно без проблем найти. То есть потестировать это всё у себя можно относительно просто.
Лично мне не показалось это прям реально полезным. Да, интересно. Возможно актуально для большой инфраструктуры, где всё не очень точно настроено и на инциденты могут валиться десятки и сотни триггеров. Тогда реально выручит вопрос к ИИ, что случилось и кто конкретно первым упал. У меня бывает в одном месте такой шторм на 200-300 триггеров утром, если на самом сервере мониторинга возникнут проблемы с сетью. Иногда это бывает, если хостера штормит. Там много внешних хостов с отправкой метрик через интернет. Но я по характеру триггеров и так понимаю, что проблемы на сервере.
Я сейчас как раз тестирую систему мониторинга, где есть встроенный ИИ-помощник. Надеюсь получится в какой-то более-менее реальной форме его потестировать. Будет скоро полноценная статья про эту систему мониторинга и не только.
Если уже внедряли связку мониторинга и ИИ, то поделитесь, насколько это удобно и полезно на практике. Сейчас на тему ИИ много хайпа и не везде он реально полезен и удобен.
#zabbix #AI
Zabbix Blog
When Generative AI Meets Zabbix - Zabbix Blog
Find out how Zabbix and AI can team up to make monitoring as intuitive and conversational as a chat with a virtual assistant.
4👍99👎3
Я одно время очень много работал с устройствами Mikrotik. Практически постоянно. Сейчас они тоже остались, но в основном на поддержке старые конфигурации, чего-то нового и необычного, о чём ещё не писал, давно не настраивал. Эти устройства, как и их система, хороша своим консерватизмом. Каких-то глобальных изменений в ней случается редко. И все старые наработки актуальны много лет.
Вижу, что тема с Микротиками всегда вызывает интерес, поэтому соберу в одну публикацию набор небольших советов и замечаний по работе с этими устройствами, о которых я в разное время писал здесь в заметках. Я со всем этим лично сталкивался, особенно когда настраивал распределённую сеть крупной торговой сети с кучей мелких филиалов по районам городов.
Больше всего нюансов в казалось бы простом инструменте для отката настроек в случае ошибки - Safe Mode.
1️⃣ Если у вас где-то открыта сессия Winbox, а вы подключились новой и нажали Safe Mode, то режим не сработает. Это может оказаться неприятным сюрпризом. А если вы решите завершить эту сессию, а там окажется включённый Safe Mode, то откатите те настройки, что изменили в той сессии. Смотреть активные сессии в System ⇨ Users ⇨ Active Users.
2️⃣ Safe Mode хранит ограниченное количество изменений. Так что лучшим вариантом использования этой функциональности является подключение, включение опции, изменение настроек, проверка, что всё прошло удачно. И сразу после этого отключение режима.
3️⃣ Иногда на автомате включаешь Safe Mode, что-то настраиваешь. Ошибаешься, тебя отключает. Ты ждёшь, когда откатит настройки, но не откатывает. Доступ не восстанавливается. И тут понимаешь, что подключен по AnyDesk или RDP, а сессия Winbox открыта в локальной сети. Тебя отключило от интернета, но сессия на Микротике не оборвалась.
Сталкивался, когда на потоке настраивал на точках по 2 провайдера. Там обычно был компьютер, телефон, принтер и Микротик. Прямого доступа не было, пока не настроишь VPN. Все точки объединял в VPN сети для удобного мониторинга и управления.
4️⃣ Safe Mode не панацея, он может сглючить и не откатить настройки. Можно подстраховаться скриптом, который делает бэкап, спит какое-то время и загружает бэкап обратно. В минималке это может выглядеть так:
Запускаете скрипт, делаете настройки, если всё ОК, то останавливаете выполнение скрипта. Он будет висеть в списке 3 минуты и ничего не делать из-за delay 180.
Все эти заморочки не особо актуальны при простых настройках, например, файрвола. Я никогда фатально не ошибался с ним. А вот если 2 провайдера и переключение, один из них мобильный, да ещё и доступ только по VPN, который должен переподключиться после переключения провайдеров, другое дело. Там много нюансов может возникать.
5️⃣ Иногда надо перезапустить интерфейс. Если через него же вы и подключены, то сделать disable и обратно enable не получится. Вас отключит. Вместо этого можно нажать галочку с enable на интерфейсе в Winbox. Это актуально и для PPP соединений. VPN соединение переподключится.
6️⃣ Я очень долго не замечал, что в Winbox есть настройка Settings ⇨ Hide Passwords, которая по умолчанию активна. Она все сохранённые пароли на устройстве отображает звёздочками. Если её отключить, то их можно увидеть. Узнал случайно от одного админа. Например, так можно посмотреть пароли от PPP соединений непосредственно через Winbox в свойствах соединения, а не только в экспорте.
7️⃣ В разделе Tools ⇨ Packet Sniffer ⇨ Streaming можно указать IP адрес и порт машины, где запущена Wireshark с настройкой на прослушивание указанного порта. Можно смотреть весь трафик или отфильтрованный. Очень просто, быстро и удобно для отладки. Если постоянно нужно смотреть трафик, то удобнее настроить отправку через NetFlow (IP ⇨ Traffic Flow).
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Вижу, что тема с Микротиками всегда вызывает интерес, поэтому соберу в одну публикацию набор небольших советов и замечаний по работе с этими устройствами, о которых я в разное время писал здесь в заметках. Я со всем этим лично сталкивался, особенно когда настраивал распределённую сеть крупной торговой сети с кучей мелких филиалов по районам городов.
Больше всего нюансов в казалось бы простом инструменте для отката настроек в случае ошибки - Safe Mode.
Сталкивался, когда на потоке настраивал на точках по 2 провайдера. Там обычно был компьютер, телефон, принтер и Микротик. Прямого доступа не было, пока не настроишь VPN. Все точки объединял в VPN сети для удобного мониторинга и управления.
/system backup save password="secret" name=disconnectdelay 180/system backup load name=disconnect.backup password="secret"Запускаете скрипт, делаете настройки, если всё ОК, то останавливаете выполнение скрипта. Он будет висеть в списке 3 минуты и ничего не делать из-за delay 180.
Все эти заморочки не особо актуальны при простых настройках, например, файрвола. Я никогда фатально не ошибался с ним. А вот если 2 провайдера и переключение, один из них мобильный, да ещё и доступ только по VPN, который должен переподключиться после переключения провайдеров, другое дело. Там много нюансов может возникать.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
5👍200👎4
⇨ Депрессия и эмоциональное выгорание айтишника - личная история DevOps
Личная история известного блогера. Ещё по первым старым его видео думал, что человек нездоров. Реально это было заметно. В итоге так оно и было. Поучительная история, рекомендую посмотреть, даже если сейчас вам это неактуально. Распространённая тема, когда в погоне за карьерой и деньгами теряют здоровье. Кстати, автор поднимает в том числе тему ночных дежурств и побудок, которую я тоже не раз поднимал у себя на канале и рекомендовал от них отказываться. Нашлось немало людей, которые их оправдывали, что для меня удивительно. Некоторые даже говорили, что отказываться от ночных дежурств непрофессионально, якобы ты не хочешь брать ответственность за свою инфру (которая на самом деле не твоя).
⇨ Лучший будильник на алерты
Шуточка для любителей ночных дежурств.
⇨ Build your own HomeLab Firewall! // OPNSense Tutorial
Обзор программного шлюза OPNSense, который я недавно рекомендовал к установке, как замену pfSense.
⇨ Zulip - Open Source, Self Hosted, team and organization communication platform
Подробный обзор неплохого чат-сервера, который можно бесплатно развернуть у себя. Я знаю этот продукт, внедрял его, писал про него статью, делал заметки. Посмотрел видео, с тех пор Zulip не сильно изменился. Этот чат интересный и необычный, не похож на условные клоны Slack, типа Mattermost или Rocket.Chat, которые первое время старались его скопировать.
⇨ How to structure your HomeLab network?
Пример того, как можно организовать локальную сеть с изоляцией сегментов.
⇨ SDN в Proxmox — мощный инструмент для управления сетями. Как работают виртуальные сети и зоны.
Хорошее подробное видео на тему работы SDN в Proxmox. Описание, схемы, примеры, настройки. Всё присутствует.
⇨ RTX 5090 laptop - ЛУЧШАЯ видеокарта для ноутбука? LLM в ноутбуке.
Тесты топовой видеокарты для ноутбука. Конечно, всё это очень дорого, неудобно и заметно слабее десктопа. Но для ноутов ничего быстрее нет.
⇨ N8N. Автоматизируй процессы в пару кликов.
Примеры использования популярной платформы для автоматизации. Много раз про неё упоминал, видео приводил. Посмотрите, если кто ещё не знаком. Очень интересная тема. У видео длинное введение. Если более-менее понимаете, что такое n8n, то можно сразу примерно на середину перематывать, где идут примеры.
⇨ Управляемый свитч Sodola — обзор, настройка VLAN и возможностей Managed Switch
Обзор необычного 9-ти портового свитча, где 8 портов 2.5G и один 10G. Мне было интересно посмотреть обзор, хотя у меня нет ни одного устройства, которое бы поддерживало такие скорости. Удивился, что подобные свитчи такие дешёвые (6-10 т.р.). Я думал, это что-то на богатом, а оказывается, что уже давно нет.
⇨ Балансировка в nginx proxy manager (npm). Как и зачем?
Обзор неплохой веб панели для настройки Nginx в качестве обратного прокси. Я давно знаю этот продукт, писал про него. Он простой и удобный.
⇨ rwMarkable - Simple Self-Hosted Notes & Checklists (No Database Required!)
Обзор очень простого сервиса для хранения личных заметок. Их существуют десятки. В этом ничего примечательного не увидел, но посмотрите, может вам понравится. Мне кажется, в таких инструментах самое главное, чтобы вам лично понравился и показался удобным интерфейс. Всё остальное вторично, так как в реальности какой-то большой функциональности не надо, хотя кажется, что чем больше программа умеет, тем лучше. Тут хорошо то, что все заметки хранятся в текстовых файлах, без использования СУБД.
#видео
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Депрессия и эмоциональное выгорание айтишника - личная история DevOps
Надежный хостинг FirstVDS! Переходи по ссылке и получай скидку 25% на первый месяц на любой тариф https://firstvds.ru/s/xi5dt
Психология айтишников довольно таки сложная штука. Эмоциональное выгорание, депрессия среди программистов не редкое дело. Все из…
Психология айтишников довольно таки сложная штука. Эмоциональное выгорание, депрессия среди программистов не редкое дело. Все из…
2👍51👎3
Меня постоянно в комментариях спрашивают, как я всё успеваю - настраивать системы, писать публикации, отвечать в чате и всё это в дополнение к большой семье. У меня 4-ро детей от 1 года до 11 лет. По сути малыши ещё. В последнее время я закончил стройку дома и переехал жить в Подмосковье. Устроил тут детей в сады, школы. Обустраиваю новую жизнь.
Давно не пишу о личном, чтобы не размывать тематику канала. Он и так по какой-то причине выпал из рекомендаций Telegram, хотя ничего не менял в основной тематике за последние 5 лет.
Не открою никому никакого секрета, потому что его нет. Я много успеваю, потому что много всего делаю и веду параллельно несколько проектов. Просто скрупулёзно и аккуратно день за днём тружусь, по шагам двигаясь к целям. Отмечу основные моменты:
1️⃣ Всегда и всё записываю, планирую. Для этого использую Singularity. Веду календари, списки дел. Без этого никуда. Текстовые заметки веду в Joplin. Туда тоже всё подряд пишу, чтобы ничего не забыть - и личное, и по работе.
2️⃣ Не отдыхаю с пожирателями времени. То есть не играю в компьютерные игры, не смотрю сериалы, не смотрю развлекательные ролики на ютубе. Да и кино не смотрю. Если только вместе с семьёй что-то вечером в выходные.
3️⃣ У меня везде выключены уведомления. Если я делаю какое-то дело, то меня ничего не отвлекает. Никаких чатов, уведомлений на смартфоне и т.д. Даже если тихо в помещении, надеваю либо беруши, либо наушники с шумоподавлением. Мне так проще концентрироваться. Музыку или что-то другое в фоне никогда не ставлю.
4️⃣ У меня стандартный подход к любому сложному масштабному делу. Просто беру и понемногу начинаю что-то делать. Не откладываю, не изучаю днями тему и т.д. Важно начинать делать, даже если не будет сразу получаться хорошо. В процессе делания всё начинает со временем складываться, как нужно. Главное - хоть небольшими шажками, но идти вперёд без остановок.
Например, я задумал раскрутить сайт и несколько лет каждую неделю обязательно писал статью. 5 лет назад я захотел раскрутить Telegram канал. Поставил себе цель - каждый будний день писать по 2 публикации. И все 5 лет следую этому правилу. Практически без исключений. Кто постоянно читает, это видит. То есть по сути всё просто. Бери и делай. Не ложусь спать, пока не подготовлю публикации. Для меня желанная награда - закончить все обязательные дела до 22 часов и спокойно лечь спать.
5️⃣ База для эффективной деятельности - поддержка семьи. Ты много успеваешь и мотивирован к продуктивной деятельности, когда тебя поддерживают и ты видишь, для чего трудишься.
Создание семьи - такое же дело, как и все остальные. Само по себе это не получается хорошо. В какой-то момент я решил, что хочу семью и много детей и стал действовать в прямом смысле - искать подходящую женщину, готовить почву для совместной жизни. Первый блин был комом, развёлся. Но продолжил двигаться дальше, набравшись опыта. На самотёк не пускал.
В завершении немного про выгорание напишу свои мысли. У меня такой график, что со стороны посмотреть - свихнуться можно, выгореть, всё бросить и уехать в самоизоляцию. Я никому свою жизнь не советую, поэтому и не пишу особо об этом. Каждому своё.
Самое главное - найти это своё и действовать по своим желаниям. Когда у тебя желания не твои, а навязанные, и ты действуешь по навязанным мотивам - выгораешь, тебя ничего не радует, жизнь рушится. Потому что это не твоя жизнь. Нужно найти себя, жить своей жизнью и ни о чём не жалеть. Меня супруга иногда спрашивает, когда очень устаю, не жалею ли я, что жизнь сложилась так, а не иначе. Вообще никогда не жалею. Всё сложилось так, как я захотел и сделал. Если кому и могу дать рекомендацию или пожелание, так это сделать так, как ты по-настоящему хочешь.
📌 Заметки по теме:
- Как у меня организован рабочий процесс
- Про детей
- Как я подхожу к любому делу
- Мужчины, будьте мужчинами
- Как не задалбываться на работе
- Как я развивался и искал себя
- Плюсы и минусы фриланса
- Не переезжайте в мегаполисы
- Из чего состоит успех в делах
- Всегда ищите то, что нравится
- Просто делай маленькие шаги каждый день
- Интервью со мной
#мысли
Давно не пишу о личном, чтобы не размывать тематику канала. Он и так по какой-то причине выпал из рекомендаций Telegram, хотя ничего не менял в основной тематике за последние 5 лет.
Не открою никому никакого секрета, потому что его нет. Я много успеваю, потому что много всего делаю и веду параллельно несколько проектов. Просто скрупулёзно и аккуратно день за днём тружусь, по шагам двигаясь к целям. Отмечу основные моменты:
Например, я задумал раскрутить сайт и несколько лет каждую неделю обязательно писал статью. 5 лет назад я захотел раскрутить Telegram канал. Поставил себе цель - каждый будний день писать по 2 публикации. И все 5 лет следую этому правилу. Практически без исключений. Кто постоянно читает, это видит. То есть по сути всё просто. Бери и делай. Не ложусь спать, пока не подготовлю публикации. Для меня желанная награда - закончить все обязательные дела до 22 часов и спокойно лечь спать.
Создание семьи - такое же дело, как и все остальные. Само по себе это не получается хорошо. В какой-то момент я решил, что хочу семью и много детей и стал действовать в прямом смысле - искать подходящую женщину, готовить почву для совместной жизни. Первый блин был комом, развёлся. Но продолжил двигаться дальше, набравшись опыта. На самотёк не пускал.
В завершении немного про выгорание напишу свои мысли. У меня такой график, что со стороны посмотреть - свихнуться можно, выгореть, всё бросить и уехать в самоизоляцию. Я никому свою жизнь не советую, поэтому и не пишу особо об этом. Каждому своё.
Самое главное - найти это своё и действовать по своим желаниям. Когда у тебя желания не твои, а навязанные, и ты действуешь по навязанным мотивам - выгораешь, тебя ничего не радует, жизнь рушится. Потому что это не твоя жизнь. Нужно найти себя, жить своей жизнью и ни о чём не жалеть. Меня супруга иногда спрашивает, когда очень устаю, не жалею ли я, что жизнь сложилась так, а не иначе. Вообще никогда не жалею. Всё сложилось так, как я захотел и сделал. Если кому и могу дать рекомендацию или пожелание, так это сделать так, как ты по-настоящему хочешь.
- Как у меня организован рабочий процесс
- Про детей
- Как я подхожу к любому делу
- Мужчины, будьте мужчинами
- Как не задалбываться на работе
- Как я развивался и искал себя
- Плюсы и минусы фриланса
- Не переезжайте в мегаполисы
- Из чего состоит успех в делах
- Всегда ищите то, что нравится
- Просто делай маленькие шаги каждый день
- Интервью со мной
#мысли
Please open Telegram to view this post
VIEW IN TELEGRAM
18👍337👎4
Давно запланировал актуализировать подборку self-hosted серверов для установки чат-сервера. Недавно пробовал и писал про Mattermost. Плюс, у меня было много заметок про Rocket.Chat.
Следующим по популярности и набору возможностей по моему мнению идёт Zulip. На днях как раз смотрел обзор этого чата. Автор сказал, что за последнее время вышло много обновлений, чат изменился в лучшую сторону. Я с ним знаком и внедрял его несколько лет назад. Решил посмотреть на него снова, что он из себя представляет на сегодняшний день.
У Zulip есть одна особенность, которая его отличает от остальных чатов - отдельные ветки обсуждений в рамках одного канала. К примеру, можно создать чат ИТ-отдел и в нём выделить несколько тем со своим ветвлением диалогов. Например - закупки, поддержка пользователей, настройка серверов, заявки и т.д.
Отмечу некоторые особенности Zulip:
▪️Голосовые и видео звонки возможны только через стороннюю интеграцию, например Jitsi.
▪️Есть удобная встроенная утилита для бэкапа, восстановления, переноса сервера.
▪️Нормальный перевод на русский язык. Не идеальный, но и не кровь из глаз.
▪️Ограничение free версии - пуш уведомления только для 10-ти пользователей.
▪️Есть возможность интеграции с AD.
▪️Поддержка ботов. Их много, они бесплатные, список тут.
▪️Есть утилита для миграции со Slack, Mattermost, Rocket.Chat.
▪️Код полностью открыт, self-hosted версия замкнута на себя.
Установить Zulip можно как напрямую, так и в Docker. Сами разработчики рекомендуют ставить напрямую, если у вас нет единого стандарта запуска приложений в докере. С их слов управлять не в докере будет проще: "Deploying with Docker moderately increases the effort required to install, maintain, and upgrade a Zulip installation".
Последую их совету и установлю напрямую. Делается это очень просто с помощью автоматического установщика. Я заранее подготовил доменное имя, чтобы сразу же во время установки получить сертификаты.
Установщик ругнулся на отсутствие swap. Создал его. После этого установка прошла нормально. Если у вас нет настроенного доменного имени и для теста вы хотите использовать самоподписанный сертификат, то добавьте ключ
В конце получил уникальную ссылку для создания организации. Создал её вместе с учётной записью администратора. Далее вы попадаете в список чатов. Мне лично с первого взгляда понравился веб интерфейс. Он будет, как обычно, неизменен и в браузере, и в клиенте, который можно установить на компьютер и смартфон. Есть даже CLI версия клиента.
Для клиентов есть как онлайн установщик, так и полностью автономный. Клиент, как обычно, написан на чём-то тяжёлом и модном, а конкретно на JavaScript. Скорее всего используется Electron, но я не уточнял. Нативный легковесный клиент есть только у Telegram, так что тут выбирать не приходится. У всех современных чатов тормозные клиенты.
Для регистрации пользователей в обязательном порядке используется подтверждение по email. Обойти это не получится. Так что для дальнейших тестов вам придётся настроить отправку по SMTP. При первом входе вам предложат прочитать инструкцию. Там всё просто.
Я немного потестировал чат, установил клиента. Лично мне он понравился больше Rocket.Chat и Mattermost. Лёгкий, лаконичный дизайн. Настроек и возможностей больше, чем у Mattermost и меньше, чем у Rocket, но мне этим Рокет и не нравится. Там такое меню управления переполненное, что заходить лишний раз не хочется. У Zulip всего немного и по делу. Логично и удобно распределено, переведено. Много полезных ботов с интеграциями.
Если бы сейчас надо было внедрять новый чат, думаю, что остановился бы на Zulip.
⇨ 🌐 Сайт / Исходники
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#chat
Следующим по популярности и набору возможностей по моему мнению идёт Zulip. На днях как раз смотрел обзор этого чата. Автор сказал, что за последнее время вышло много обновлений, чат изменился в лучшую сторону. Я с ним знаком и внедрял его несколько лет назад. Решил посмотреть на него снова, что он из себя представляет на сегодняшний день.
У Zulip есть одна особенность, которая его отличает от остальных чатов - отдельные ветки обсуждений в рамках одного канала. К примеру, можно создать чат ИТ-отдел и в нём выделить несколько тем со своим ветвлением диалогов. Например - закупки, поддержка пользователей, настройка серверов, заявки и т.д.
Отмечу некоторые особенности Zulip:
▪️Голосовые и видео звонки возможны только через стороннюю интеграцию, например Jitsi.
▪️Есть удобная встроенная утилита для бэкапа, восстановления, переноса сервера.
▪️Нормальный перевод на русский язык. Не идеальный, но и не кровь из глаз.
▪️Ограничение free версии - пуш уведомления только для 10-ти пользователей.
▪️Есть возможность интеграции с AD.
▪️Поддержка ботов. Их много, они бесплатные, список тут.
▪️Есть утилита для миграции со Slack, Mattermost, Rocket.Chat.
▪️Код полностью открыт, self-hosted версия замкнута на себя.
Установить Zulip можно как напрямую, так и в Docker. Сами разработчики рекомендуют ставить напрямую, если у вас нет единого стандарта запуска приложений в докере. С их слов управлять не в докере будет проще: "Deploying with Docker moderately increases the effort required to install, maintain, and upgrade a Zulip installation".
Последую их совету и установлю напрямую. Делается это очень просто с помощью автоматического установщика. Я заранее подготовил доменное имя, чтобы сразу же во время установки получить сертификаты.
# mkdir zulip && cd zulip# curl -fLO https://download.zulip.com/server/zulip-server-latest.tar.gz# tar -xf zulip-server-latest.tar.gz# ./zulip-server-*/scripts/setup/install --push-notifications --certbot \ --email=zeroxzed@gmail.com --hostname=340751.simplecloud.ruУстановщик ругнулся на отсутствие swap. Создал его. После этого установка прошла нормально. Если у вас нет настроенного доменного имени и для теста вы хотите использовать самоподписанный сертификат, то добавьте ключ
--self-signed-cert.В конце получил уникальную ссылку для создания организации. Создал её вместе с учётной записью администратора. Далее вы попадаете в список чатов. Мне лично с первого взгляда понравился веб интерфейс. Он будет, как обычно, неизменен и в браузере, и в клиенте, который можно установить на компьютер и смартфон. Есть даже CLI версия клиента.
Для клиентов есть как онлайн установщик, так и полностью автономный. Клиент, как обычно, написан на чём-то тяжёлом и модном, а конкретно на JavaScript. Скорее всего используется Electron, но я не уточнял. Нативный легковесный клиент есть только у Telegram, так что тут выбирать не приходится. У всех современных чатов тормозные клиенты.
Для регистрации пользователей в обязательном порядке используется подтверждение по email. Обойти это не получится. Так что для дальнейших тестов вам придётся настроить отправку по SMTP. При первом входе вам предложат прочитать инструкцию. Там всё просто.
Я немного потестировал чат, установил клиента. Лично мне он понравился больше Rocket.Chat и Mattermost. Лёгкий, лаконичный дизайн. Настроек и возможностей больше, чем у Mattermost и меньше, чем у Rocket, но мне этим Рокет и не нравится. Там такое меню управления переполненное, что заходить лишний раз не хочется. У Zulip всего немного и по делу. Логично и удобно распределено, переведено. Много полезных ботов с интеграциями.
Если бы сейчас надо было внедрять новый чат, думаю, что остановился бы на Zulip.
⇨ 🌐 Сайт / Исходники
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#chat
2👍76👎5
Относительно недавно (2018 год) по меркам Linux в составе базовых системных утилит популярных дистрибутивов появилась утилита choom. Узнал о ней случайно. В Debian и Ubuntu она есть по умолчанию, отдельно ставить не надо. В других не проверял.
Забегая вперёд скажу, что лично я для неё применения не увидел, но решил всё равно написать для общего образования. Кому-то может пригодится. Не просто же так её написали и добавили в дистрибутивы. С помощью choom можно управлять таким параметром, как OOM score adjustment (oom_score_adj). На его основе OOM-killer принимает решение о том, какой процесс завершить при нехватке оперативной памяти в системе.
Choom работает с запущенными процессами на лету, используя их pid. Примерно так:
Посмотрели текущее значения
Проверяем:
Oom_score стал 0, а oom_score_adj, как и указали -1000. В данном примере pid 1994 - это процесс mariadbd. Удобней было бы сделать сразу вот так:
Вообще, принцип работы OOM-killer довольно замороченный. Как видно, у него есть два параметра oom_score и oom_score_adj. Первый показывает текущие накопленные баллы, которые динамически изменяются в зависимости от различных условий, а второй - это то, что задаётся вручную и тоже влияет на oom_score. Сделав oom_score_adj минимальным, то есть -1000, мы и oom_score уменьшили.
Вручную всё это менять имеет смысл только в каких-то отладочных целях. Для постоянной работы этими параметрами удобнее управлять через systemd. Просто указываем в unit файле сервиса нужные значения:
Перезапускаем сервис и проверяем. В случае с mariadb это будет выглядеть так. Делаем корректировку стандартного юнита:
Добавляем в конфигурацию:
Перечитываем параметры юнита и перезапускаем его.
Проверяем значение:
По сути choom удобен именно для просмотра. Смотреть значения с помощью утилиты быстрее и проще, чем напрямую:
Она по сути именно это и делает. И меняет значение тоже переопределяя именно эти параметры.
На практике я никогда не занимался настройкой
Исключение, наверное, для каких-то специфических случаев, когда целенаправленно нужно использовать всю память сервера, но при этом гарантированно иметь работающим какое-то приложение. Я не могу придумать таких примеров, но думаю, что они есть. Если кто-то знает такие истории, поделитесь в комментариях. Когда вам приходилось целенаправленно настраивать OOMScoreAdjust? В голову приходят агенты мониторинга. Желательно, чтобы они всегда работали, но на практике я не видел, чтобы их первым отключал OOM-killer.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#linux #terminal #systemd
Забегая вперёд скажу, что лично я для неё применения не увидел, но решил всё равно написать для общего образования. Кому-то может пригодится. Не просто же так её написали и добавили в дистрибутивы. С помощью choom можно управлять таким параметром, как OOM score adjustment (oom_score_adj). На его основе OOM-killer принимает решение о том, какой процесс завершить при нехватке оперативной памяти в системе.
Choom работает с запущенными процессами на лету, используя их pid. Примерно так:
# choom -p 1994pid 1994's current OOM score: 684pid 1994's current OOM score adjust value: 0Посмотрели текущее значения
oom_score и oom_score_adj. Для того, чтобы максимально уменьшить шанс для процесса быть убитыми, ему нужно присвоить параметр oom_score_adj -1000. Соответственно, параметр 1000 будет означать максимальный шанс. То есть там разбег от -1000 до 1000. И чем меньше значение, тем меньше шанса быть завершённым. # choom -p 1994 -n -1000Проверяем:
# choom -p 1994pid 1994's current OOM score: 0pid 1994's current OOM score adjust value: -1000Oom_score стал 0, а oom_score_adj, как и указали -1000. В данном примере pid 1994 - это процесс mariadbd. Удобней было бы сделать сразу вот так:
# choom -p $(pidof mariadbd) -n 1000Вообще, принцип работы OOM-killer довольно замороченный. Как видно, у него есть два параметра oom_score и oom_score_adj. Первый показывает текущие накопленные баллы, которые динамически изменяются в зависимости от различных условий, а второй - это то, что задаётся вручную и тоже влияет на oom_score. Сделав oom_score_adj минимальным, то есть -1000, мы и oom_score уменьшили.
Вручную всё это менять имеет смысл только в каких-то отладочных целях. Для постоянной работы этими параметрами удобнее управлять через systemd. Просто указываем в unit файле сервиса нужные значения:
[Service]............OOMScoreAdjust=-800............Перезапускаем сервис и проверяем. В случае с mariadb это будет выглядеть так. Делаем корректировку стандартного юнита:
# systemctl edit mariadbДобавляем в конфигурацию:
[Service]OOMScoreAdjust=-800Перечитываем параметры юнита и перезапускаем его.
# systemctl daemon-reload# systemctl restart mariadbПроверяем значение:
# choom -p $(pidof mariadbd)pid 2274's current OOM score: 152pid 2274's current OOM score adjust value: -800По сути choom удобен именно для просмотра. Смотреть значения с помощью утилиты быстрее и проще, чем напрямую:
# cat /proc/2274/oom_score# cat /proc/2274/oom_score_adjОна по сути именно это и делает. И меняет значение тоже переопределяя именно эти параметры.
На практике я никогда не занимался настройкой
OOMScoreAdjust. Если на сервере кончается память и приходит OOM-killer - это аварийная ситуация. Надо идти и разбираться, куда утекает память и почему её не хватает. Обычно после этого её должно хватать. Исключение, наверное, для каких-то специфических случаев, когда целенаправленно нужно использовать всю память сервера, но при этом гарантированно иметь работающим какое-то приложение. Я не могу придумать таких примеров, но думаю, что они есть. Если кто-то знает такие истории, поделитесь в комментариях. Когда вам приходилось целенаправленно настраивать OOMScoreAdjust? В голову приходят агенты мониторинга. Желательно, чтобы они всегда работали, но на практике я не видел, чтобы их первым отключал OOM-killer.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#linux #terminal #systemd
3👍84👎1
Собрал подборку из заметок на канале на тему инструментов для ведения документации. Ни разу этого не делал, а материала накопилось прилично. В списке явно прослеживаются 2 категории продуктов:
🔹классические в формате wiki;
🔹статические генераторы.
Так что список будет состоять из двух этих категорий, и в конце всё остальное, что останется, в третьей.
Wiki:
◽️DocuWIKI, MediaWiki - по ним не было отдельных заметок, но не мог пропустить эти очень старые и известные продукты. Я сам не раз составлял документацию в DocuWIKI. Это очень простая wiki-подобная панель управления документами, которая работает на php, не требует СУБД, а все заметки хранит в текстовых md файлах. Очень легко бэкапить и синхронизировать документацию.
◽️Wiki.js - современная реализация технологии wiki. Очень хорошая функциональность. Среди всех современных wiki, это самая навороченная и красивая. Там и API, и аутентификаций куча всяких, продвинутый поиск, синхронизация с git и многое другое.
◽️BookStack - ещё один движок на базе wiki, но не только. Больше похож на классическую CMS на PHP, которая в том числе поддерживает wiki. Это для любителей олдскула, хотя проект не брошен. Развивается и поддерживается. Есть аутентификация через AD.
Статические генераторы:
◽️MkDocs - как мне кажется, наиболее популярный генератор именно для документации. С его помощью написана документация для многих известных проектов. Например - Rocky Linux. Принцип там такой - пишите документация в формате md, хранить можно в git. Отдельно пишите инструкцию по генерации сайта в формате yaml. И после каждого обновления контента запускаете генерацию новых страничек или всего сайта.
◽️Hugo - это в целом самый популярный генератор статических сайтов, который в том числе используют для документации, но вообще он для сайтов общего назначения. Многие техноблогеры используют этот движок для своих блогов.
◽️Antora - продвинутый инструмент для ведения документации профессиональными техническими писателями. Там есть деление на продукты, вертки, версии. Управление документацией ведётся по принципу docs as code.
◽️Grav - универсальная CMS, которая в том числе подходит для хранения документации. У неё есть отдельная тема для синхронизации контента с git репозиторием. Сама CMS вместе с markdown редактором работает на PHP. Это может быть удобно, если хочется писать текст во встроенном редакторе, а не где-то на стороне.
◽️Docusaurus - ещё один статический генератор, который изначально был заточен под ведение документации и написан в Facebook. У него простой, лаконичный дизайн, интеграция с git, документы хранит в формате md. Написан на Go, расширяется плагинами. Нормальное современное решение для простой документации.
Разное:
◽️Onlyoffice - это целый портал для совместной работы, который включает в том числе отдельный раздел для wiki. Но лично мне нравится в нём вести текстовую документацию в формате обычных документов docx и xlsx с общим доступом к файлам. Это в целом удобно, так как хранится наглядная история версий, можно скачать файл локально, куда-то переслать, поработать с ним на компе в десктопном редакторе.
Перечислил то, что знал и частично использовал. Если у вас есть ещё рекомендации бесплатных продуктов для ведения документации, поделитесь в комментариях.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#wiki #docs #подборка
🔹классические в формате wiki;
🔹статические генераторы.
Так что список будет состоять из двух этих категорий, и в конце всё остальное, что останется, в третьей.
Wiki:
◽️DocuWIKI, MediaWiki - по ним не было отдельных заметок, но не мог пропустить эти очень старые и известные продукты. Я сам не раз составлял документацию в DocuWIKI. Это очень простая wiki-подобная панель управления документами, которая работает на php, не требует СУБД, а все заметки хранит в текстовых md файлах. Очень легко бэкапить и синхронизировать документацию.
◽️Wiki.js - современная реализация технологии wiki. Очень хорошая функциональность. Среди всех современных wiki, это самая навороченная и красивая. Там и API, и аутентификаций куча всяких, продвинутый поиск, синхронизация с git и многое другое.
◽️BookStack - ещё один движок на базе wiki, но не только. Больше похож на классическую CMS на PHP, которая в том числе поддерживает wiki. Это для любителей олдскула, хотя проект не брошен. Развивается и поддерживается. Есть аутентификация через AD.
Статические генераторы:
◽️MkDocs - как мне кажется, наиболее популярный генератор именно для документации. С его помощью написана документация для многих известных проектов. Например - Rocky Linux. Принцип там такой - пишите документация в формате md, хранить можно в git. Отдельно пишите инструкцию по генерации сайта в формате yaml. И после каждого обновления контента запускаете генерацию новых страничек или всего сайта.
◽️Hugo - это в целом самый популярный генератор статических сайтов, который в том числе используют для документации, но вообще он для сайтов общего назначения. Многие техноблогеры используют этот движок для своих блогов.
◽️Antora - продвинутый инструмент для ведения документации профессиональными техническими писателями. Там есть деление на продукты, вертки, версии. Управление документацией ведётся по принципу docs as code.
◽️Grav - универсальная CMS, которая в том числе подходит для хранения документации. У неё есть отдельная тема для синхронизации контента с git репозиторием. Сама CMS вместе с markdown редактором работает на PHP. Это может быть удобно, если хочется писать текст во встроенном редакторе, а не где-то на стороне.
◽️Docusaurus - ещё один статический генератор, который изначально был заточен под ведение документации и написан в Facebook. У него простой, лаконичный дизайн, интеграция с git, документы хранит в формате md. Написан на Go, расширяется плагинами. Нормальное современное решение для простой документации.
Разное:
◽️Onlyoffice - это целый портал для совместной работы, который включает в том числе отдельный раздел для wiki. Но лично мне нравится в нём вести текстовую документацию в формате обычных документов docx и xlsx с общим доступом к файлам. Это в целом удобно, так как хранится наглядная история версий, можно скачать файл локально, куда-то переслать, поработать с ним на компе в десктопном редакторе.
Перечислил то, что знал и частично использовал. Если у вас есть ещё рекомендации бесплатных продуктов для ведения документации, поделитесь в комментариях.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#wiki #docs #подборка
2👍105👎2
Mikrotik меня на днях удивил. Увидел мельком в одном из видео на ютубе упоминание функции Kid Control. Думаю, такой, что это за контроль, впервые слышу. Открываю RouterOS 7 и и вижу там IP ⇨ Kid Control. Очень удивился. Я вообще впервые увидел этот раздел.
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik #дети
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
/ip firewall address-list
add address=192.168.137.110 list=Ivan
add address=192.168.137.111 list=Olga
/ip firewall filter
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Ivan time=\
22h-7h,sun,mon,tue,wed,thu,fri,sat
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Olga time=\
21h-7h,sun,mon,tue,wed,thu,fri,sat
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik #дети
👍129👎8
📊 Пришло время очередного опроса. Давно хотел его организовать, да всё забывал. На другое отвлекался. Тема очень дискуссионная. На канале не раз поднимались споры на этот счёт, но никогда не было опроса.
Интересно посмотреть на распределение по вопросу, кто каким текстовым редактором пользуется в консоли Linux. Скажу за себя. Я использую
Если стоит
Вариант ответа будет только один. Так что выбирайте тот, что вам больше нравится, даже если работаете в разных.
#опрос
Интересно посмотреть на распределение по вопросу, кто каким текстовым редактором пользуется в консоли Linux. Скажу за себя. Я использую
mcedit. Не считаю его очень удобным, но привык. Мои потребности закрывает, так как я особо много в консоли не редактирую. Если что-то большое, масштабное, то делаю на компьютере в VSCode.Если стоит
nano, то буду работать в нём. Vi или vim не люблю, закрою, если случайно откроется 😆 Но приходится мириться, так как по visudo открывается. Я обычно не переназначаю. Хотя это было раньше, на rpm дистрибутивах, с которыми я всё реже взаимодействую. В deb visudo открывает nano. И это здорово. Про vi теперь не вспоминаю.Вариант ответа будет только один. Так что выбирайте тот, что вам больше нравится, даже если работаете в разных.
#опрос
👍70👎3
Какой текстовый редактор вы предпочитаете для работы в консоли ОС на базе Linux?
Anonymous Poll
20%
mcedit
19%
vim
51%
nano
5%
vi
0%
emacs
2%
neovim
1%
Другой (напишу в комментариях)
3%
Не работаю в консоли Linux (посмотреть результаты)
👍94👎3
На днях на хабре прочитал полезную статью, поэтому решил акцентировать ваше внимание на ней. Я в принципе не знал, что так можно сделать. Не приходилось сталкиваться.
⇨ Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов
Думаю у многих всё ещё трудятся устаревшие операционные системы Windows. По моим наблюдениям, чаще всего это Windows Server 2012 R2. Не помню уже чем они в то время так привлекали внимание, но мне кажется, их наустанавливали значительно больше, чем последующих 2016-х и 2019-х. Таковые имеются и у меня.
По понятным причинам, установить обновления на Windows Server 2012 R2 либо сложно, либо невозможно, потому что в свободный доступ они больше не публикуются. Есть обходные пути, но не сказать, что они простые.
Автор предлагает следующий простой и эффективный способ защиты удалённых подключений.
1️⃣ Разворачиваем роль центра сертификации.
2️⃣ Выпускаем сертификаты для пользователей.
3️⃣ На целевых серверах, куда пользователи будут подключаться по SMB или RDP, на штатном файрволе настраиваем правила входящих соединений, где включаем параметр Разрешить только безопасное подключение. Дополнительно можно ограничить список компьютеров, с которых разрешено подключаться. Если это не терминальный сервер, а обычный, куда по RDP подключаются только админы, можно ограничить список компьютеров.
4️⃣ Отдельно создаём правило для безопасных соединений, где включаем проверку подлинности компьютера, если настраивали ограничения по ним, и проверку подлинности пользователя, которая выполняется с помощью ранее выпущенного сертификата с нашего CA.
Теперь если у пользователя нет сертификата, в подключении будет отказано. Это не даёт стопроцентной защиты, но заметно сужает вектор атак, так как без сертификата по RDP или SMB уже не подключиться. А именно в этих сервисах обычно находят фатальные уязвимости.
Настраивается всё это относительно просто. В статье пошаговая инструкция. Странно, что у статьи так мало просмотров и совсем нет комментариев. Мне кажется, довольно актуальная информация. Меня постоянно беспокоят эти устаревшие системы. Конечно, их надо обновлять, но как это обычно бывает, не всегда это просто сделать по различным причинам. А где-то и невозможно. Я лично обслуживал системы для станков, которые нельзя было обновить. Продавалась связка станок-компьютер с драйверами под конкретную версию.
#windows #security
⇨ Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов
Думаю у многих всё ещё трудятся устаревшие операционные системы Windows. По моим наблюдениям, чаще всего это Windows Server 2012 R2. Не помню уже чем они в то время так привлекали внимание, но мне кажется, их наустанавливали значительно больше, чем последующих 2016-х и 2019-х. Таковые имеются и у меня.
По понятным причинам, установить обновления на Windows Server 2012 R2 либо сложно, либо невозможно, потому что в свободный доступ они больше не публикуются. Есть обходные пути, но не сказать, что они простые.
Автор предлагает следующий простой и эффективный способ защиты удалённых подключений.
Теперь если у пользователя нет сертификата, в подключении будет отказано. Это не даёт стопроцентной защиты, но заметно сужает вектор атак, так как без сертификата по RDP или SMB уже не подключиться. А именно в этих сервисах обычно находят фатальные уязвимости.
Настраивается всё это относительно просто. В статье пошаговая инструкция. Странно, что у статьи так мало просмотров и совсем нет комментариев. Мне кажется, довольно актуальная информация. Меня постоянно беспокоят эти устаревшие системы. Конечно, их надо обновлять, но как это обычно бывает, не всегда это просто сделать по различным причинам. А где-то и невозможно. Я лично обслуживал системы для станков, которые нельзя было обновить. Продавалась связка станок-компьютер с драйверами под конкретную версию.
#windows #security
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов
На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у...
👍121👎2