В одном из недавних видео увидел обзор сетевого сканера Scanopy, который умеет автоматически искать новые узлы и добавлять их на схему. По описанию работы и внешнему виду всё понравилось, поэтому решил попробовать. Развернул у себя дома и поразбирался с ним. Для тех, кто не захочет читать всю заметку, сразу передам суть:
◽️Проект новый, ещё не настоялся. Для домашней или тестовой инфраструктуры сойдёт, в прод я бы пока не ставил.
◽️Выглядит красиво, реально всё делает автоматически: ищет узлы, сканирует порты, сам определяет, как может, работающие сервисы, добавляет всё это на схему.
◽️Возможностей гибких настроек мало, сами настройки неинтуитивны. Я некоторое время возился, пока разобрался, как там всё устроено.
В итоге принял решение дома его оставить. У меня много всевозможных сетевых устройств (компы, ноуты, сервера, камеры, бытовые устройства, свитчи, смартфоны). Вручную рисовать схемы лень, особо не надо. Смотреть на неизвестное устройство иду в DHCP-сервер. Даже в таком виде, как это делает Scanopy, выглядит неплохо. Лучше, чем ничего, и красивее, чем я нарисовал в Zabbix 😁.
Scanopy состоит из трёх компонентов:
1️⃣ Сервер с веб интерфейсом
2️⃣ Сканирующий агент
3️⃣ СУБД Postgresql для хранения состояния
Всё это упаковано в Docker и описано в Compose. Запускается в 3 действия:
Идём в http://<server-ip>:60072 и создаём учётку администратора. Scanopy определяет локальную сеть, в которой работает, автоматически запускает сканирование сети и построение схемы. То есть даже настраивать ничего не надо. Развернули, зашли, выполнили пару шагов для регистрации и процесс пошёл.
Для быстрого запуска в LXC контейнере Proxmox есть готовый скрипт из набора Proxmox VE Helper-Scripts. Думаю, у себя в таком исполнении установлю.
Сканирование сети длится относительно долго (у меня минут 15), в зависимости от количества узлов. Для каждого узла сканируются все открытые порты и определяются службы по типу того, как это делает Nmap. Возможно он, или, как минимум, признаки служб из его набора используются для определения. В документации не уточнён этот момент. Просто указано, что написан сканер с распознаванием служб по различным признакам.
Далее для узлов делаются более тонкие настройки - указание имени, редактирование служб, настройка связей, расположение на схеме и т.д. В целом, получается наглядно и симпатично, особенно если доработать схему самому. Но даже автоматически нормально получается.
Вместо своей схемы, которую я ещё не доработал, покажу примеры с сайта, как это может выглядеть. Прикрепил некоторые картинки.
В целом, продукт интересный. Если получится развитие, то будет неплохо. А автор, судя по всему, задумал развивать, так как сразу одновременно с self-hosted версией, сделал платную по модели SaaS, написал документацию. Так что пожелаю ему успехов в этом деле. Думаю, подобная программа многим упростит рутину.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#network
◽️Проект новый, ещё не настоялся. Для домашней или тестовой инфраструктуры сойдёт, в прод я бы пока не ставил.
◽️Выглядит красиво, реально всё делает автоматически: ищет узлы, сканирует порты, сам определяет, как может, работающие сервисы, добавляет всё это на схему.
◽️Возможностей гибких настроек мало, сами настройки неинтуитивны. Я некоторое время возился, пока разобрался, как там всё устроено.
В итоге принял решение дома его оставить. У меня много всевозможных сетевых устройств (компы, ноуты, сервера, камеры, бытовые устройства, свитчи, смартфоны). Вручную рисовать схемы лень, особо не надо. Смотреть на неизвестное устройство иду в DHCP-сервер. Даже в таком виде, как это делает Scanopy, выглядит неплохо. Лучше, чем ничего, и красивее, чем я нарисовал в Zabbix 😁.
Scanopy состоит из трёх компонентов:
Всё это упаковано в Docker и описано в Compose. Запускается в 3 действия:
# curl https://get.docker.com | bash -# curl -O https://raw.githubusercontent.com/scanopy/scanopy/refs/heads/main/docker-compose.yml# docker compose up -dИдём в http://<server-ip>:60072 и создаём учётку администратора. Scanopy определяет локальную сеть, в которой работает, автоматически запускает сканирование сети и построение схемы. То есть даже настраивать ничего не надо. Развернули, зашли, выполнили пару шагов для регистрации и процесс пошёл.
Для быстрого запуска в LXC контейнере Proxmox есть готовый скрипт из набора Proxmox VE Helper-Scripts. Думаю, у себя в таком исполнении установлю.
Сканирование сети длится относительно долго (у меня минут 15), в зависимости от количества узлов. Для каждого узла сканируются все открытые порты и определяются службы по типу того, как это делает Nmap. Возможно он, или, как минимум, признаки служб из его набора используются для определения. В документации не уточнён этот момент. Просто указано, что написан сканер с распознаванием служб по различным признакам.
Далее для узлов делаются более тонкие настройки - указание имени, редактирование служб, настройка связей, расположение на схеме и т.д. В целом, получается наглядно и симпатично, особенно если доработать схему самому. Но даже автоматически нормально получается.
Вместо своей схемы, которую я ещё не доработал, покажу примеры с сайта, как это может выглядеть. Прикрепил некоторые картинки.
В целом, продукт интересный. Если получится развитие, то будет неплохо. А автор, судя по всему, задумал развивать, так как сразу одновременно с self-hosted версией, сделал платную по модели SaaS, написал документацию. Так что пожелаю ему успехов в этом деле. Думаю, подобная программа многим упростит рутину.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#network
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍141👎2
От отключения хостером до полной стабильности
Как CURATOR защитил 3DNews и ServerNews от DDoS и ускорил доставку контента
Атака почти 3000 Мбит/с — и хостер 3DNews «падает» меньше чем за полчаса, просто отключив сеть.
Для медиа это катастрофа: простой, потеря трафика и удар по репутации.
Команда CURATOR подключилась в самый критичный момент и быстро вернула сайт к жизни. Подробнее о том, как это было сделано - в карточках.
Этот и другие реальные кейсы, а также экспертная информация в области кибербезопасности — в канале CURATOR.
ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923, erid: 2SDnjewgerc
Как CURATOR защитил 3DNews и ServerNews от DDoS и ускорил доставку контента
Атака почти 3000 Мбит/с — и хостер 3DNews «падает» меньше чем за полчаса, просто отключив сеть.
Для медиа это катастрофа: простой, потеря трафика и удар по репутации.
Команда CURATOR подключилась в самый критичный момент и быстро вернула сайт к жизни. Подробнее о том, как это было сделано - в карточках.
Этот и другие реальные кейсы, а также экспертная информация в области кибербезопасности — в канале CURATOR.
ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923, erid: 2SDnjewgerc
👎57👍12
Столкнулся вчера на одном из серверов с ситуацией, которая взорвала мне мозг. Пол дня с ней провозился, пока не разобрался. Да и то считай, что случайно. Технического решения я так и не нашёл. Возможно кто-то подскажет его в комментариях.
Настраивал на почтовом сервере плагин для RoundCube, который позволяет пользователям самостоятельно настраивать сбор почты со сторонних почтовых ящиков. Поразбирался некоторое время, в итоге всё получилось. Плагин использует для сбора Fetchmail. Настройки хранит в базе MySQL, пользователи сами всё настраивают через веб интерфейс своего ящика.
В процессе настройки заметил в системном логе syslog строки, которых раньше там не было:
Стало интересно, кто же это пытается подключиться к серверу Mariadb. Такого пользователя там не существует. Строки появляются строго раз в минуту.
Первым делом включил подробный лог запросов. Там обычно сразу видно, откуда идут подключения, если они сетевые. Добавил в настройки службы и перезапустил её:
В general.log посыпались эти попытки:
Как видно, подключение идёт через сокет, то есть локально. Но кто подключается, не понятно. На этом этапе я ещё не понимал, насколько задача непроста, так как изначально предположил, что будет нетрудно какими-то утилитами посмотреть, кто подключается. Сразу прикинул, что наверное тут поможет auditd или lsof. Они по идее могут отслеживать подключения к сокету.
С lsof всё относительно просто. Я уже раньше делал подборку с основными командами, где в том числе можно посмотреть подключения к сокетам. Смотрим открытый сокет mysql и подключения к нему:
Тут ничего полезного я не увидел, так как показывает результат в текущем моменте. Отследить вручную кратковременный запрос так нереально.
Дальше прошёл мучать ИИ. Те, кто с ним постоянно работают, наверное представляют, как он умеет водить по кругу. Он мне напредлагал кучу всего, но ничего не помогло. Я большие надежды возлагал на auditd, но так и не смог его настроить, чтобы отслеживать подключения к Mariadb через сокет. Не помог мне ни ChatGPT, ни DeepSeek, ни Perplexity. Все примерно одинаковое советовали: auditd, strace, ionotify, проверить кроны, таймеры и т.д.
Решил сам немного подумать. Посмотрел, когда появились первые записи в логе с этими подключениями. Оказалось, что сразу через минуту после установки мной пакета libdbd-mysql-perl. Он нужен для перлового скрипта для Fetchmail. Этот пакет - просто библиотека. Посмотрел, что он ставит в систему:
Там нет ничего связанного со службами, кронами и вообще чем-либо, что может запускаться и работать. Это наблюдение меня окончательно сбило с толку. Я внимательно посмотрел ещё раз все логи, в том числе старые. Не было раньше подобных подключений. Появились ровно после установки этого пакета.
Не буду вас дальше томить. Ещё какое-то время я вручную изучал сервер. Всё, что там запущено. Грешил на мониторинг. Там работает prometheus-postfix-exporter. Но виновник оказался не он, хотя смотрел я в нужную сторону. Там же был установлен Monitorix, про который я недавно писал. И то ли он по умолчанию собирает метрики MySQL, то ли я включил и забыл, но факт в том, что именно он долбился в сокет с несуществующей учёткой, которая там записана по умолчанию.
Скорее всего он использует именно эту библиотеку для подключений и пока я её не установил, он их не выполнял. Сюрпризом для меня оказалось то, что я с не смог средствами системы и Mariadb точно установить, кто подключается к сокету. Если вы знаете, как это сделать, поделитесь информацией.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#mysql
Настраивал на почтовом сервере плагин для RoundCube, который позволяет пользователям самостоятельно настраивать сбор почты со сторонних почтовых ящиков. Поразбирался некоторое время, в итоге всё получилось. Плагин использует для сбора Fetchmail. Настройки хранит в базе MySQL, пользователи сами всё настраивают через веб интерфейс своего ящика.
В процессе настройки заметил в системном логе syslog строки, которых раньше там не было:
[Warning] Access denied for user 'user'@'localhost' (using password: YES)Стало интересно, кто же это пытается подключиться к серверу Mariadb. Такого пользователя там не существует. Строки появляются строго раз в минуту.
Первым делом включил подробный лог запросов. Там обычно сразу видно, откуда идут подключения, если они сетевые. Добавил в настройки службы и перезапустил её:
general_log = 1general_log_file = /var/log/mariadb/general.logВ general.log посыпались эти попытки:
32 Connect user@localhost on using Socket32 Connect<>Access denied for user 'user'@'localhost' (using password: YES)Как видно, подключение идёт через сокет, то есть локально. Но кто подключается, не понятно. На этом этапе я ещё не понимал, насколько задача непроста, так как изначально предположил, что будет нетрудно какими-то утилитами посмотреть, кто подключается. Сразу прикинул, что наверное тут поможет auditd или lsof. Они по идее могут отслеживать подключения к сокету.
С lsof всё относительно просто. Я уже раньше делал подборку с основными командами, где в том числе можно посмотреть подключения к сокетам. Смотрим открытый сокет mysql и подключения к нему:
# ss -lx | grep mysqld# lsof /run/mysqld/mysqld.sockТут ничего полезного я не увидел, так как показывает результат в текущем моменте. Отследить вручную кратковременный запрос так нереально.
Дальше прошёл мучать ИИ. Те, кто с ним постоянно работают, наверное представляют, как он умеет водить по кругу. Он мне напредлагал кучу всего, но ничего не помогло. Я большие надежды возлагал на auditd, но так и не смог его настроить, чтобы отслеживать подключения к Mariadb через сокет. Не помог мне ни ChatGPT, ни DeepSeek, ни Perplexity. Все примерно одинаковое советовали: auditd, strace, ionotify, проверить кроны, таймеры и т.д.
Решил сам немного подумать. Посмотрел, когда появились первые записи в логе с этими подключениями. Оказалось, что сразу через минуту после установки мной пакета libdbd-mysql-perl. Он нужен для перлового скрипта для Fetchmail. Этот пакет - просто библиотека. Посмотрел, что он ставит в систему:
# dpkg -L libdbd-mysql-perlТам нет ничего связанного со службами, кронами и вообще чем-либо, что может запускаться и работать. Это наблюдение меня окончательно сбило с толку. Я внимательно посмотрел ещё раз все логи, в том числе старые. Не было раньше подобных подключений. Появились ровно после установки этого пакета.
Не буду вас дальше томить. Ещё какое-то время я вручную изучал сервер. Всё, что там запущено. Грешил на мониторинг. Там работает prometheus-postfix-exporter. Но виновник оказался не он, хотя смотрел я в нужную сторону. Там же был установлен Monitorix, про который я недавно писал. И то ли он по умолчанию собирает метрики MySQL, то ли я включил и забыл, но факт в том, что именно он долбился в сокет с несуществующей учёткой, которая там записана по умолчанию.
Скорее всего он использует именно эту библиотеку для подключений и пока я её не установил, он их не выполнял. Сюрпризом для меня оказалось то, что я с не смог средствами системы и Mariadb точно установить, кто подключается к сокету. Если вы знаете, как это сделать, поделитесь информацией.
———
ServerAdmin:
#mysql
Please open Telegram to view this post
VIEW IN TELEGRAM
👍102👎1
Всё есть в ИХЦ 💯
Иногда для запуска проекта не хватает лишь одного: надежного хостинга, где все работает стабильно и без сюрпризов. Где сервер не падает, а поддержка не исчезает после оплаты. Где можно протестировать все заранее, без давления.
В IHC дела обстоят именно так.
1️⃣ Виртуальный хостинг:
— От 123₽/мес
— 7 дней теста
— Установка CMS в пару кликов
2️⃣ VPS-серверы:
— В России — от 317₽/мес
— В Европе — от 366,5₽/мес
— 3 дня теста
— Оплата в рублях, техподдержка на русском
Бесплатная DDoS-защита на всех тарифах. Мы стараемся делать удобно, прозрачно и по-человечески. Спокойно работайте над проектом, а мы обеспечим нужную инфраструктуру.
Если искали нормальный хостинг — можете перестать искать😄
👉 Посмотреть тарифы и попробовать ihc.ru
Реклама, ООО «Интернет-Хостинг», ИНН 7701838266, erid: 2SDnjcms8Gx
Иногда для запуска проекта не хватает лишь одного: надежного хостинга, где все работает стабильно и без сюрпризов. Где сервер не падает, а поддержка не исчезает после оплаты. Где можно протестировать все заранее, без давления.
В IHC дела обстоят именно так.
— От 123₽/мес
— 7 дней теста
— Установка CMS в пару кликов
— В России — от 317₽/мес
— В Европе — от 366,5₽/мес
— 3 дня теста
— Оплата в рублях, техподдержка на русском
Бесплатная DDoS-защита на всех тарифах. Мы стараемся делать удобно, прозрачно и по-человечески. Спокойно работайте над проектом, а мы обеспечим нужную инфраструктуру.
Если искали нормальный хостинг — можете перестать искать
Реклама, ООО «Интернет-Хостинг», ИНН 7701838266, erid: 2SDnjcms8Gx
Please open Telegram to view this post
VIEW IN TELEGRAM
4👍59👎4
Я на днях писал про программу для построения съемы локальной сети Scanopy. И так совпало, а может и не совпало, а авторы читают мой канал, что мне написали авторы программы 10-Strike LANState. У них вышла бесплатная Pro версия на 25 хостов, которой раньше не существовало. Были только платные.
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#мониторинг #отечественное
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#мониторинг #отечественное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍94👎23
Для тех, кто работал с OpenVPN, привычен метод аутентификации на основе клиентских сертификатов, который используется там по умолчанию. В веб сервере Angie ровно эти же сертификаты можно использовать для аутентификации клиентов при доступе к закрытым сервисам.
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
Создаём свой CA:
По умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
Для передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
Передаём
Перезапускаю веб сервер:
Захожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
Эти команды обновят файл отзывов
Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#angie
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
# apt install easy-rsaСоздаём свой CA:
# make-cadir /etc/angie/easy-rsa# cd /etc/angie/easy-rsa# ./easyrsa init-pki# ./easyrsa build-caПо умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
vars параметр:set_var EASYRSA_CERT_EXPIRE 3650Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
set_var EASYRSA_CRL_DAYS 365Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
# ./easyrsa build-server-full server nopass# cp /etc/angie/easy-rsa/pki/issued/server.crt /etc/angie# cp /etc/angie/easy-rsa/pki/private/server.key /etc/angie# ./easyrsa build-client-full client01 nopassДля передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
# openssl pkcs12 -export -in /etc/angie/easy-rsa/pki/issued/client01.crt -inkey /etc/angie/easy-rsa/pki/private/client01.key -out client01.p12Передаём
client01.p12 клиенту. Готовим конфигурацию виртуального сервера Angie. Показываю на примере конфигурации default.conf с доступом по IP:server { listen 443 ssl; server_name localhost; access_log /var/log/angie/host.access.log main; ssl_certificate /etc/angie/server.crt; ssl_certificate_key /etc/angie/server.key; ssl_client_certificate /etc/angie/easy-rsa/pki/ca.crt; ssl_crl /etc/angie/easy-rsa/pki/crl.pem; ssl_verify_client on; location / { root /usr/share/angie/html; index index.html index.htm; }}Перезапускаю веб сервер:
# angie -t# angie -s reloadЗахожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
client01.p12. Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
# ./easyrsa --batch revoke client01# ./easyrsa gen-crl# angie -s reloadЭти команды обновят файл отзывов
crl.pem, который проверяет веб сервер. Последний надо обязательно заставить перечитать конфигурацию, иначе он не примет изменения. Теперь client01 получит ошибку доступа: "The SSL certificate error".Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#angie
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍137👎3
Как начать с работать Kubernetes: видеокурс Zero to Hero от «Фланта»
Из курса вы получите практические знания, которых будет достаточно для решения большинства типовых задач. Минимум теории и абстрактных схем, максимум реальных кейсов и сценариев.
Планируется 10 видео. Сейчас уже доступно два, после просмотра которых вы сможете настроить работающий K8s-кластер на своём компьютере.
Смотрите курс на удобной вам площадке:
→ YouTube
→ Rutube
→ ВК Видео
Из курса вы получите практические знания, которых будет достаточно для решения большинства типовых задач. Минимум теории и абстрактных схем, максимум реальных кейсов и сценариев.
Планируется 10 видео. Сейчас уже доступно два, после просмотра которых вы сможете настроить работающий K8s-кластер на своём компьютере.
Смотрите курс на удобной вам площадке:
→ YouTube
→ Rutube
→ ВК Видео
👍26👎6
Надвигающиеся выходные - не повод расслабляться, тем более только недавно отдыхали почти две недели. Попалась в Steam игра для сетевых инженеров и сисадминов с подозрительно хорошими отзывами.
Называется Tower Networking Inc. - симулятор интернет провайдера, где нужно управлять сетевой инфраструктурой в жилом комплексе. Вам предстоит прокладывать кабели (👹🙈), настраивать свитчи и роутеры, устранять неисправности и многое другое, что сопровождает подобную деятельность.
Игра выглядит аутентично и атмосферно. Вот некоторые отзывы о ней:
Думаю, по комментариям идею вы поняли😄 . Вот ещё по этой теме, кому мало работы и хочется добрать сисадминства дома:
⇨ ServiceIT: You can do IT
⇨ SysAdmin Odyssey - Back to the office
⇨ IT Specialist Simulator
Интересно, в какой-нибудь другой профессии есть игры, связанные с рабочей деятельностью? Ну там у проктологов игра на тему профессиональной деятельности, в которую только проктологи играют. Или у спортсменов, которая будет интересна только им? В представленные выше игры вряд ли будет играть кто-то, не связанный с информационными технологиями.
🎮 Steam /▶️ Игровой процесс
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#игра
Называется Tower Networking Inc. - симулятор интернет провайдера, где нужно управлять сетевой инфраструктурой в жилом комплексе. Вам предстоит прокладывать кабели (👹🙈), настраивать свитчи и роутеры, устранять неисправности и многое другое, что сопровождает подобную деятельность.
Игра выглядит аутентично и атмосферно. Вот некоторые отзывы о ней:
Шедевральная игра. Она просто обязана быть у всех ценителей. Парадоксально, что её абсолютно не хочется пройти до конца. Ты просто не хочешь, чтобы она заканчивалась. Один единственный минус-как только ты сел играть-ты попал в ловушку времени.
Подойдет любому инженеру, который не умеет отдыхать после реальной галеры.
За 12 часов игры узнал больше чем за пять лет университета.
Слава Омниссии, теперь я могу админить пользователей и поддерживать вечно отказывающую сетку не только на работе, но и дома! Нет, не так, я же на удалёнке, я и так из дома её админю... Я могу ОДНОВРЕМЕННО админить сетку и там, и там! Дурка, ♥️♥️♥️♥️♥️! Будучи системным администратором, я одобряю! Лучшее наглядное, пусть и крайне упрощённое, пособие о работе сисадмина.
Хоть где-то в жизни пригодились знания о настройке циски, которые я получил ещё лет 10 назад.
Думаю, по комментариям идею вы поняли
⇨ ServiceIT: You can do IT
⇨ SysAdmin Odyssey - Back to the office
⇨ IT Specialist Simulator
Интересно, в какой-нибудь другой профессии есть игры, связанные с рабочей деятельностью? Ну там у проктологов игра на тему профессиональной деятельности, в которую только проктологи играют. Или у спортсменов, которая будет интересна только им? В представленные выше игры вряд ли будет играть кто-то, не связанный с информационными технологиями.
🎮 Steam /
———
ServerAdmin:
#игра
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍89👎6
Послушал недавно одно из выступлений с Zabbix Summit 2025 на тему того, за чем нужно следить в самом Zabbix, чтобы системе мониторинга не стало плохо. Выступающий представляет компанию, которая продаёт услугу по аудиту Zabbix, написав для этого свой софт.
В выступлении он рассказал в основном теорию, которая мне показалась интересной в формате списка пунктов, по которым стоит пройтись, чтобы навести порядок у себя, поэтому я решил кратко законспектировать выступление и для себя, и для вас. Какие-то очевидные вещи, типа проверки версии Zabbix и просмотр лога сервера я опустил.
1️⃣ Проверяем все хосты, которые давно недоступны. Либо исправляем проблему с доступом к хосту, либо удаляем его из мониторинга, если больше не нужен.
2️⃣ То же самое относится к неподдерживаемым айтемам. С ними надо разобраться - либо починить, либо отключить, если уже неактуально.
3️⃣ Обратить внимание на все айтемы, где стоят слишком частые проверки, например, чаще 30 секунд. Это может создавать очень серьёзные нагрузки. В выступлении не сказано, но я добавлю, что для некоторых проверок имеет смысл добавить предобработку, которая будет отбрасывать неизменившиеся значения. Для некоторых данных это может серьёзно экономить место в базе. Например тогда, когда вы часто следите за неизменным состоянием айтема, чтобы сразу заметить изменение. Нет смысла хранить результаты всех проверок.
4️⃣ Проверяем триггеры в статусе UNKNOWN. Часто они связаны с неактивными айтемами, но не всегда. Могут быть и другие ошибки.
5️⃣ Проводим аудит стандартных шаблонов и по возможности обновляем устаревшие. Это на самом деле серьёзная и объёмная задача. В последних релизах её стараются упростить и облегчить, но всё равно работы с ней много и часто ручной. Но следить тем не менее надо. Новые шаблоны зачастую удобнее и информативнее. Хотя если вас устраивают старые, то особых проблем не будет, если не обновите. Отдельно напомню, что с обновлением сервера шаблоны автоматически не обновляются.
6️⃣ Если есть возможность запустить мониторинг каких-то хостов через Zabbix Proxy, сделайте это. Это и основной сервер разгружает, и для сильно удалённых хостов делает мониторинг более точным.
7️⃣ Проверьте количество запущенных Pollers, чтобы хватало с запасом. По моему опыту чаще всего по мере роста сервера начинает не хватать стандартных параметров поллера для пингов.
8️⃣ Проверьте размер кэшей в настройке сервера. По мере роста нагрузки кэш надо тоже увеличивать от стандартных значений. Если что, его нехватка будет отражаться в логе сервера.
9️⃣ Проверить настройку шифрования между хостами и сервером. Желательно, чтобы она была настроена, особенно при передаче данных по незащищённым сетям, типа интернета.
От себя я бы добавил ещё несколько моментов, которые опустил выступающий, потому что это будут скорее всего ручные проверки, а у них работает ПО с автоматическими:
▪️Провести аудит того, что пишется в базу данных и что там занимает место. Возможно почистить её, если есть такая потребность. У меня была статья по этой теме - Что занимает место в базе данных Zabbix.
▪️Проверка бэкапов, и технически, и логически. Иногда бэкапят только базу данных, так как основное там. Но если не бэкапить конфигурацию сервера, и тем более внешние скрипты, которые используются, то потом будет очень хлопотно всё это восстанавливать. Я сам не раз на это натыкался. Думаю, зачем бэкапить, и так все скрипты либо на сайте, либо в гите, либо тут в заметках. Но на деле потом всё это собирать и снова запускать очень хлопотно. Лучше все забэкапить и положить рядом с дампом базы.
▪️Аудит оповещений. В них может быть реализована сложная система уведомлений, в которой можно напутать и часть уведомлений потерять или отправить в неработающие каналы. В этом желательно периодически вручную разбираться, удалять лишнее или упрощать. Тем более если вы принимаете в управление настроенную не вами систему.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#zabbix
В выступлении он рассказал в основном теорию, которая мне показалась интересной в формате списка пунктов, по которым стоит пройтись, чтобы навести порядок у себя, поэтому я решил кратко законспектировать выступление и для себя, и для вас. Какие-то очевидные вещи, типа проверки версии Zabbix и просмотр лога сервера я опустил.
От себя я бы добавил ещё несколько моментов, которые опустил выступающий, потому что это будут скорее всего ручные проверки, а у них работает ПО с автоматическими:
▪️Провести аудит того, что пишется в базу данных и что там занимает место. Возможно почистить её, если есть такая потребность. У меня была статья по этой теме - Что занимает место в базе данных Zabbix.
▪️Проверка бэкапов, и технически, и логически. Иногда бэкапят только базу данных, так как основное там. Но если не бэкапить конфигурацию сервера, и тем более внешние скрипты, которые используются, то потом будет очень хлопотно всё это восстанавливать. Я сам не раз на это натыкался. Думаю, зачем бэкапить, и так все скрипты либо на сайте, либо в гите, либо тут в заметках. Но на деле потом всё это собирать и снова запускать очень хлопотно. Лучше все забэкапить и положить рядом с дампом базы.
▪️Аудит оповещений. В них может быть реализована сложная система уведомлений, в которой можно напутать и часть уведомлений потерять или отправить в неработающие каналы. В этом желательно периодически вручную разбираться, удалять лишнее или упрощать. Тем более если вы принимаете в управление настроенную не вами систему.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#zabbix
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Zabbix Watches Everything — But Who Watches Zabbix? by Pascal de Jessey / Zabbix Summit 2025
As infrastructures grow, Zabbix becomes a central piece of the puzzle — but often escapes scrutiny itself. In this talk, Pascal will explore why auditing Zabbix is not a one-time task, but an ongoing process that deserves as much care as the systems it monitors.…
1👍73👎5
Как защитить данные Яндекс 360 для бизнеса и автоматизировать резервное копирование
Потеря рабочих писем и документов— одна из самых болезненных ситуаций для компаний. Удалённые файлы, уход сотрудников, ошибки в доступах напрямую влияют на скорость бизнес-процессов и устойчивость работы команд.
На вебинаре Надежда Гришина из K2 Cloud и Сергей Гринченко из Яндекс 360 для бизнеса расскажут, как использовать ROC Backup для резервного копирования данных сервисов Яндекс 360 и управления доступами.
Ждём ИТ-директоров, руководителей ИТ-инфраструктуры, системных администраторов и специалистов из ритейла, FMCG, фармотрасли, производства, строительства и финансового сектора.
Зарегистрироваться>>
Потеря рабочих писем и документов— одна из самых болезненных ситуаций для компаний. Удалённые файлы, уход сотрудников, ошибки в доступах напрямую влияют на скорость бизнес-процессов и устойчивость работы команд.
На вебинаре Надежда Гришина из K2 Cloud и Сергей Гринченко из Яндекс 360 для бизнеса расскажут, как использовать ROC Backup для резервного копирования данных сервисов Яндекс 360 и управления доступами.
В программе:
🔹Как сервисы Яндекс 360 для бизнеса дополняются резервным копированием через ROC Backup
🔹Практические сценарии использования ROC Backup
🔹Где хранить бэкап — в облаке или локально
🔹Как настроить политики резервного копирования и разграничить доступ
Ждём ИТ-директоров, руководителей ИТ-инфраструктуры, системных администраторов и специалистов из ритейла, FMCG, фармотрасли, производства, строительства и финансового сектора.
Зарегистрироваться>>
👍12👎3