🔝 ТОП постов за прошедший месяц. Все самые популярные публикации по месяцам можно почитать со соответствующему хэштэгу #топ. Отдельно можно посмотреть ТОП за прошлые года: 2023 и 2024.
Пока готовится ТОП за прошедший год (будет завтра), нужно подвести итоги этого месяца декабря.
Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://xn--r1a.website/boost/srv_admin.
📌 Больше всего пересылок:
◽️Инструменты для анализа занятости диска в Linux (417)
◽️Примеры настройки SSH для повышения защиты (362)
◽️Отправка системной почты в Linux (325)
◽️Анализ NetFlow в консоли Linux (310)
◽️Раскраска консольных команд с помощью grc (299)
📌 Больше всего комментариев:
◽️Катастрофический рост стоимости оперативной памяти (154)
◽️Мои наушники и рабочее место (130)
◽️Подборка бесплатных систем видеонаблюдения (127)
📌 Больше всего реакций:
◽️Статья про настройку почтового сервера (498)
◽️Инструменты для анализа занятости диска в Linux (215)
◽️Раскраска консольных команд с помощью grc (203)
◽️Отправка вывода консольной команды в Telegram (184)
📌 Больше всего просмотров:
◽️Управление консолью через браузер (8710)
◽️Шутка про запрет самосборных системников (8620)
◽️Срок сохранения данных на современных SSD (8507)
#топ
Пока готовится ТОП за прошедший год (будет завтра), нужно подвести итоги этого месяца декабря.
Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://xn--r1a.website/boost/srv_admin.
📌 Больше всего пересылок:
◽️Инструменты для анализа занятости диска в Linux (417)
◽️Примеры настройки SSH для повышения защиты (362)
◽️Отправка системной почты в Linux (325)
◽️Анализ NetFlow в консоли Linux (310)
◽️Раскраска консольных команд с помощью grc (299)
📌 Больше всего комментариев:
◽️Катастрофический рост стоимости оперативной памяти (154)
◽️Мои наушники и рабочее место (130)
◽️Подборка бесплатных систем видеонаблюдения (127)
📌 Больше всего реакций:
◽️Статья про настройку почтового сервера (498)
◽️Инструменты для анализа занятости диска в Linux (215)
◽️Раскраска консольных команд с помощью grc (203)
◽️Отправка вывода консольной команды в Telegram (184)
📌 Больше всего просмотров:
◽️Управление консолью через браузер (8710)
◽️Шутка про запрет самосборных системников (8620)
◽️Срок сохранения данных на современных SSD (8507)
#топ
Telegram
ServerAdmin.ru
🎄🔝 Под конец года имеет смысл подвести некоторые итоги. В повседневной жизни я не привык это делать. Обычно только доходы/расходы анализирую. А вот в разрезе канала было интересно посмотреть итоги.
Я подготовил ТОП публикаций за прошедший год. Это было…
Я подготовил ТОП публикаций за прошедший год. Это было…
1👍49👎1
🎄🔝Под конец года осталось закрыть один технический момент. Подготовил список наиболее популярных публикаций в этом году. Надеюсь, вам будет интересно после праздников его посмотреть и найти что-то для себя полезное. Потратил несколько часов, чтобы его составить, проверить. В прошлые годы это были практически самые просматриваемые публикации.
Этот год был не такой плодотворный, как прошлые, хотя, потрудился я всё равно очень упорно. Заметок писал меньше, уже не так строго выдерживал график, как прежде. Во многом это обусловлено тем, что основное своё внутреннее содержание я уже выложил ранее. Ёмкость каждого автора ограничена. Если вы кого-то, кто пишет регулярно и много, давно читаете, то можете заметить, что со временем автор начинает повторяться. Это нормальное явление. Я его замечаю и у себя, и у других блогеров из разных областей знаний, кого я давно смотрю, слушаю.
Для написания новых интересных материалов нужно всё больше и больше усилий, так как самому приходится изучать новое. Это очень хорошо тренирует мозг. Рекомендую тем, кого заботит этот момент, постоянно изучать что-то. Чем старше становишься, тем сильнее мозг сопротивляется работе по освоению новых знаний. Приходится заставлять.
🙏🏻 Благодарю всех, кто читает, проявляет полезную активность на канале. Я неизменно год за годом получаю отзывы рекламодателей о том, что у меня активная и позитивная аудитория. Ко мне почти всегда возвращаются с повторными публикациями. Это позволяет мне выбирать, кого и как рекламировать. Стараюсь сотрудничать только по релевантной тематике без каких-то посторонних тем.
Ближе к НГ у меня ещё будет пожелание для вас, так что не прощаюсь в этом году.
📌 Больше всего пересылок:
◽️Microsoft Activation Scripts на GitHub
◽️Сетевой диск через интернет от sysinternals
◽️Подборка обучающих курсов 1
◽️Подборка обучающих курсов 2
◽️Подборка bash скриптов с канала
◽️Записи лекций института ИТМО
◽️Управление сохранёнными паролями в Windows
◽️Обзор iVentoy для сетевой загрузки с ISO образов
◽️Видеоцикл по настройке Proxmox
◽️Скрипт для проверки доступности ресурсов через VPS
◽️Настройка приветствия при логине на сервер
◽️Как Windows определяет наличие интернета
◽️Работа с командой ip в консоли Linux
◽️Полезные возможности rsync
◽️Основная функциональность MC, которую использую
📌 Больше всего комментариев:
◽️Выбор рабочего ноутбука
◽️Про высшее образование в IT
◽️Очередная заметка про проверку бэкапов
◽️Бесплатные системы виртуализации
◽️TUI интерфейс ProxMenux для Proxmox
◽️Новый сервер от Mikrotik
◽️Pi-hole в контейнере на Mikrotik hAP ax³
◽️Выбор вентиляторов для системного блока
◽️Мысли на тему своего почтового сервера
◽️Обзор клиентов для удалённых подключений
📌 Больше всего реакций:
◽️Обновление Dovecot 2.4 и анонс статьи про почтовый сервер
◽️Статья про настройку почтового сервера
◽️Как Windows определяет наличие интернета
◽️Статья про кластер на базе Proxmox VE
◽️Мои инструменты для дачи
◽️Мой канал в MAX
◽️Про то, как я всё успеваю
◽️Пожелания в день сисадмина
◽️Ночные дежурства и переработки
◽️Подборка авторских сайтов IT тематики
📌 Больше всего просмотров:
◽️Microsoft Activation Scripts на GitHub
◽️Шутка на 1-е апреля про сисадминов
◽️Совет по проверке железа на арендном сервере
◽️Правильное написание сокращений с данными
◽️Работа с командой ip в консоли Linux
◽️Добавление новых дисков в сервер
◽️Консольная игра GameShell
◽️Песня НТР - Хуяк, хуяк и в продакшн
◽️Ролик про сисадмина на корпоративе
◽️Игра You're the OS!
#топ
Этот год был не такой плодотворный, как прошлые, хотя, потрудился я всё равно очень упорно. Заметок писал меньше, уже не так строго выдерживал график, как прежде. Во многом это обусловлено тем, что основное своё внутреннее содержание я уже выложил ранее. Ёмкость каждого автора ограничена. Если вы кого-то, кто пишет регулярно и много, давно читаете, то можете заметить, что со временем автор начинает повторяться. Это нормальное явление. Я его замечаю и у себя, и у других блогеров из разных областей знаний, кого я давно смотрю, слушаю.
Для написания новых интересных материалов нужно всё больше и больше усилий, так как самому приходится изучать новое. Это очень хорошо тренирует мозг. Рекомендую тем, кого заботит этот момент, постоянно изучать что-то. Чем старше становишься, тем сильнее мозг сопротивляется работе по освоению новых знаний. Приходится заставлять.
🙏🏻 Благодарю всех, кто читает, проявляет полезную активность на канале. Я неизменно год за годом получаю отзывы рекламодателей о том, что у меня активная и позитивная аудитория. Ко мне почти всегда возвращаются с повторными публикациями. Это позволяет мне выбирать, кого и как рекламировать. Стараюсь сотрудничать только по релевантной тематике без каких-то посторонних тем.
Ближе к НГ у меня ещё будет пожелание для вас, так что не прощаюсь в этом году.
📌 Больше всего пересылок:
◽️Microsoft Activation Scripts на GitHub
◽️Сетевой диск через интернет от sysinternals
◽️Подборка обучающих курсов 1
◽️Подборка обучающих курсов 2
◽️Подборка bash скриптов с канала
◽️Записи лекций института ИТМО
◽️Управление сохранёнными паролями в Windows
◽️Обзор iVentoy для сетевой загрузки с ISO образов
◽️Видеоцикл по настройке Proxmox
◽️Скрипт для проверки доступности ресурсов через VPS
◽️Настройка приветствия при логине на сервер
◽️Как Windows определяет наличие интернета
◽️Работа с командой ip в консоли Linux
◽️Полезные возможности rsync
◽️Основная функциональность MC, которую использую
📌 Больше всего комментариев:
◽️Выбор рабочего ноутбука
◽️Про высшее образование в IT
◽️Очередная заметка про проверку бэкапов
◽️Бесплатные системы виртуализации
◽️TUI интерфейс ProxMenux для Proxmox
◽️Новый сервер от Mikrotik
◽️Pi-hole в контейнере на Mikrotik hAP ax³
◽️Выбор вентиляторов для системного блока
◽️Мысли на тему своего почтового сервера
◽️Обзор клиентов для удалённых подключений
📌 Больше всего реакций:
◽️Обновление Dovecot 2.4 и анонс статьи про почтовый сервер
◽️Статья про настройку почтового сервера
◽️Как Windows определяет наличие интернета
◽️Статья про кластер на базе Proxmox VE
◽️Мои инструменты для дачи
◽️Мой канал в MAX
◽️Про то, как я всё успеваю
◽️Пожелания в день сисадмина
◽️Ночные дежурства и переработки
◽️Подборка авторских сайтов IT тематики
📌 Больше всего просмотров:
◽️Microsoft Activation Scripts на GitHub
◽️Шутка на 1-е апреля про сисадминов
◽️Совет по проверке железа на арендном сервере
◽️Правильное написание сокращений с данными
◽️Работа с командой ip в консоли Linux
◽️Добавление новых дисков в сервер
◽️Консольная игра GameShell
◽️Песня НТР - Хуяк, хуяк и в продакшн
◽️Ролик про сисадмина на корпоративе
◽️Игра You're the OS!
#топ
9👍186👎1
🎄Поздравляю всех с наступающим новым годом. Спасибо, что читаете мой канал среди такого изобилия информации в современном мире. Для меня это был во многом особенный и очень тяжёлый год. Я спешно достраивал загородный дом, чтобы в конце лета окончательно переехать жить из Москвы в Подмосковную деревню в 80 км от мегаполиса. Дети (у меня 4-ро) в сентябре уже пошли в сад, школу на новом месте.
После того, как основные хлопоты закончились, пришло какое-то опустошение. Я практически выполнил поставленный себе план на десятилетку - нарожал детей, сменил работу, подобрал и купил участок, построил дом и переехал в него жить. Попутно в рутине и постоянных хлопотах растерял свой прежний образ жизни, увлечения и социальные связи. Или просто перерос всё это. Точно не знаю. Как-будто бы всё прошлое стало неинтересно. Попробовал туда вернуться, но уже не то.
Так что теперь у меня новый вызов, который только начал осмысливать. Нужен новый план на дальнейшую жизнь, потому что просто жить одним днём не привык и чувствую себя в этом некомфортно. Хотя и не считаю, что это прям так обязательно - строить планы и достигать их, как и вести ежедневники и записывать туда все свои дела, чтобы успеть как можно больше и ничего не забыть. Это всё очень индивидуально.
Встречал людей, которые считают, что если тебе надо записывать дела и переживать, что что-то забудешь, не успеешь, то ты неполноценно живёшь, занимаешься бесполезными для себя делами, которые нужно записывать, чтобы не забыть. Надо всё лишнее просто выкинуть и жить свободной жизнью. Ничего не имею против такого подхода, если человек нормально живёт, выполняет свои обязательства перед семьёй и остальными и чувствует себя комфортно.
Поэтому я всегда говорю, что не надо повторять за мной или за кем-то ещё. Не рассказываю, что жить за городом и иметь много детей это так здорово и т.д. Кому-то здорово, а кому-то нет. Кому-то нравится управлять парком из сотни серверов с автоматическим управлением, а кому-то - десятком и ходить в консоль руками. Мне лично ближе по душе последнее. Мне нравится зайти в консоль, посмотреть top и логи, что-то там настроить, а не отредактировать бездушный yaml плейбука и отправить его в такой же бездушный пайплайн для выполнения, хотя могу.
Можно организовать и жизнь, и работу так, как тебе хочется, если постоянно по чуть-чуть двигаться вперёд к своей цели. Главное, чтобы внутреннего сопротивления не было и серьёзных сомнений. И то, и другое признаки того, что ты, возможно, занимаешься чем-то не тем. Не стоит только их с ленью путать. В той или иной мере она присутствует у всех, надо иногда преодолевать.
Я лично подобные дела обдумываю и прокручиваю в голове один во время пробежек или пеших прогулок. Рекомендую попробовать. Сейчас вообще отличное время для этого. Прогуливался сегодня пешком в парке под падающим снегом, обдумывал как раз свои дела. Очень продуктивно. Потом сразу начал кое-что делать со смартфона, пока не забыл. Один из таких Новых Годов перевернул мою жизнь. Рассказывал об этом в прошлом году, повторяться не буду.
Так что желаю вам, как и себе, в Новый год посмотреть на свою жизнь, обдумать её, прикинуть, как и что лучше изменить, и начать двигаться в сторону этих изменений. Вот в чём я точно уверен, так это в том, что в жизни надо форсировать события в свою сторону, а не ждать, когда всё само по себе сложится. Не зря есть поговорка: "Под лежачий камень и вода не течёт." Если ничего не делать, то ничего толкового и не получится. Успешный результат, который по настоящему удовлетворит - это награда за потраченные усилия. Не будет усилий, не случится и награды. Всех с Новым Годом🎄 .
#мысли
После того, как основные хлопоты закончились, пришло какое-то опустошение. Я практически выполнил поставленный себе план на десятилетку - нарожал детей, сменил работу, подобрал и купил участок, построил дом и переехал в него жить. Попутно в рутине и постоянных хлопотах растерял свой прежний образ жизни, увлечения и социальные связи. Или просто перерос всё это. Точно не знаю. Как-будто бы всё прошлое стало неинтересно. Попробовал туда вернуться, но уже не то.
Так что теперь у меня новый вызов, который только начал осмысливать. Нужен новый план на дальнейшую жизнь, потому что просто жить одним днём не привык и чувствую себя в этом некомфортно. Хотя и не считаю, что это прям так обязательно - строить планы и достигать их, как и вести ежедневники и записывать туда все свои дела, чтобы успеть как можно больше и ничего не забыть. Это всё очень индивидуально.
Встречал людей, которые считают, что если тебе надо записывать дела и переживать, что что-то забудешь, не успеешь, то ты неполноценно живёшь, занимаешься бесполезными для себя делами, которые нужно записывать, чтобы не забыть. Надо всё лишнее просто выкинуть и жить свободной жизнью. Ничего не имею против такого подхода, если человек нормально живёт, выполняет свои обязательства перед семьёй и остальными и чувствует себя комфортно.
Поэтому я всегда говорю, что не надо повторять за мной или за кем-то ещё. Не рассказываю, что жить за городом и иметь много детей это так здорово и т.д. Кому-то здорово, а кому-то нет. Кому-то нравится управлять парком из сотни серверов с автоматическим управлением, а кому-то - десятком и ходить в консоль руками. Мне лично ближе по душе последнее. Мне нравится зайти в консоль, посмотреть top и логи, что-то там настроить, а не отредактировать бездушный yaml плейбука и отправить его в такой же бездушный пайплайн для выполнения, хотя могу.
Можно организовать и жизнь, и работу так, как тебе хочется, если постоянно по чуть-чуть двигаться вперёд к своей цели. Главное, чтобы внутреннего сопротивления не было и серьёзных сомнений. И то, и другое признаки того, что ты, возможно, занимаешься чем-то не тем. Не стоит только их с ленью путать. В той или иной мере она присутствует у всех, надо иногда преодолевать.
Я лично подобные дела обдумываю и прокручиваю в голове один во время пробежек или пеших прогулок. Рекомендую попробовать. Сейчас вообще отличное время для этого. Прогуливался сегодня пешком в парке под падающим снегом, обдумывал как раз свои дела. Очень продуктивно. Потом сразу начал кое-что делать со смартфона, пока не забыл. Один из таких Новых Годов перевернул мою жизнь. Рассказывал об этом в прошлом году, повторяться не буду.
Так что желаю вам, как и себе, в Новый год посмотреть на свою жизнь, обдумать её, прикинуть, как и что лучше изменить, и начать двигаться в сторону этих изменений. Вот в чём я точно уверен, так это в том, что в жизни надо форсировать события в свою сторону, а не ждать, когда всё само по себе сложится. Не зря есть поговорка: "Под лежачий камень и вода не течёт." Если ничего не делать, то ничего толкового и не получится. Успешный результат, который по настоящему удовлетворит - это награда за потраченные усилия. Не будет усилий, не случится и награды. Всех с Новым Годом
#мысли
Please open Telegram to view this post
VIEW IN TELEGRAM
16👍384👎4
Предлагаю вам очередную подборку видео. На отдыхе как раз проще всего что-то посмотреть, так как всё равно по привычке что-то смотришь, читаешь на смартфоне или компьютере. Да и времени на это больше.
В этом году новогодние праздники максимально длинные. Мне кажется, они год от года всё длиннее и длиннее. Помню, когда был студентом, 4-го января уже мог стоять какой-то экзамен. Соответственно, тебе нужно было успеть к нему подготовиться. Ни о каких недельных или двухнедельных выходных и речи не было. 1-го выспишься, а 2-го уже начинаешь готовиться.
⇨ Контроль доступа в Angie
Описание ограничения доступа к ресурсам с помощью стандартных модулей Access, Auth Basic и Auth Request с примерами настройки.
⇨ Аутентификация в Angie с помощью TLS-сертификатов
Пример настройки аутентификации пользователей в Angie с помощью TLS сертификатов. То есть это такое же ограничение доступа, как и в первом видео, только тут используются сертификаты для проверки доступа.
⇨ Мониторинг YouTube в Zabbix — просмотры, подписчики и лайки в графиках. YouTube API
Пример того, как можно использовать Zabbix. В самом видео ничего особенного нет. Там ставят Zabbix, берут готовый шаблон и получают API от Google для доступа к статистике. Я таким же образом собираю различные метрики по посещаемости сайтов, telegram каналов, температуры дома, режимов работы котла и т.д. Периодически писал об этом заметки.
⇨ Proxmox VE 9 — Настройка HA кластера | Local Storage, ZFS Pool и NFS Shared Storage
Очередной наглядный пример настройки HA (High Availability) кластера на базе Proxmox. Даже не представляю, сколько похожих роликов я уже видел. Наверное штук 10. Да и сам статью писал. Но так как всё это дело постоянно обновляется, плюс приходят новые подписчики, освещаю эту актуальную тему.
⇨ Stop Drawing Network Diagrams Manually Scanopy Does It for You
Описание инструмента Scanopy для автоматического построения схем сетей. Любопытная вещь. Нужно будет попробовать у себя. Кстати, в самом начале видео автор показал схему из draw.io. Сразу же узнал этот стандартный шаблон.
⇨ Нанимаю АДМИНА в 2026 - От вакансии до оффера (часть 1)
Я не помню, как этот автор попал ко мне в подписки, но это видео я увидел в ленте и посмотрел. Рекомендую посмотреть, чтобы хотя бы примерно понимать как может выглядеть найм сисадмина с другой стороны. Я сам нанимал людей и не согласен со всем тем, что рассказал автор, но кое-что полезное из его видео можно вынести. Обычно соискатели не представляют, как выглядит поиск и найм сотрудника с той стороны.
⇨ Stop Using Pi-Hole Sync Tools – Technitium DNS Clustering Is Better
Обзор и настройки Technitium DNS - решения для кластеризации локальной службы DNS. Я раньше про этот сервер не слышал. Надо будет попробовать. Выглядит функционально при простой настройке.
⇨ Upgrade Windows 10 to Windows 11 on Not Supported PC
Как-будто бы легальный способ обновить лицензионную Windows 10 на 11 там, где старое оборудование не поддерживает такое обновление. По крайней мере никакие сторонние твики и кряки не используются. Только стандартный ISO для установки.
⇨ Tianji — программное обеспечение с открытым исходным кодом, размещаемое на собственном сервере
Обзор бесплатной веб панели Tianji, которая следит за посещаемостью сайта и мониторит его работу. Я примерно год назад делал обзор этой панели. Неплохой инструмент для небольших сайтов.
———
ServerAdmin:
#видео
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Контроль доступа в Angie
Поговорим об ограничении доступа пользователей к ресурсам средствами веб-сервера Angie.
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной…
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной…
👍68👎2
Поздравляю всех с долгожданными рабочими буднями. Столько времени отдыхать - настоящее издевательство над человеком труда. Руки уже чешутся настроить что-то полезное.
Последние несколько дней развлекал себя чисткой снега 💪🏻. Помимо своего немаленького участка и выезда на шоссе, помощи запросили детский сад и школа. У них там всё за праздники замело. Плюс, чистить приходилось родник на крутом склоне с лестницей на 185 ступенек и проходными площадками, куда я регулярно хожу за ключевой водой. По мелочи ещё несколько парковочных мест расчистил, чтобы поставить машину. Приходится с собой лопату возить и готовить парковку, прежде чем можно оставить машину где-либо.
Праздники прошли ровно, вообще без эксцессов, только мониторинг немного посемафорил, но исключительно из-за того, что у меня его много. Так как в праздники частенько что-то переключают и перенастраивают по ночам те, кто не может себе позволить это делать в другое время, были некоторые сообщения о недоступности, но конкретно вся моя инфраструктура работала нормально.
Пользуясь случаем, расскажу, как у меня глобально мониторинг устроен. У заказчиков локально настроены собственные мониторинги Zabbix и кое-где Prometheus. Последний лично мне особо не нужен, потому что нет динамических сред и метрик, которые надо собирать часто и подробно смотреть на них. Пользуюсь им, чтобы не терять навык управления связанной с ним экосистемой.
Отдельно на VPS стоит мой личный мониторинг Zabbix+Grafana, куда в дашборд собраны триггеры со всех управляемых мной мониторингов Zabbix. Этот мониторинг выполняет в том числе некоторые внешние проверки к сервисам заказчиков, которые доступны публично - сайты, сертификаты, точки входа в инфраструктуру.
Также у меня отдельно поднят Gatus для себя и тех же внешних сервисов заказчиков. Мне очень нравится этот мониторинг. С тех пор, как познакомился с ним, использую постоянно. Обновляю его, добавляю проверки. Больше всего нравится наглядный общий дашборд. Уведомления настроены в отдельную группу в Telegram.
В качестве внешнего сервиса мониторинга, который вообще не зависит от меня, использую UptimeRobot. Использую там простые проверки некоторых ключевых вещей. Нравится приложение на Android с пушами. Мне бесплатного плана хватает для своих нужд.
Всё это вместе, конечно, немного спамит, так как проверки проходят из разных мест и бывает, что с какой-то точки что-то временно недоступно. Но так как из несколько, я понимаю, что если они не ругаются все сразу, то в целом всё в порядке. Если хоть один мониторинг видит, что конечная цель доступна, значит сам конечный сервер работает и отвечает на запросы.
Ещё настроен мониторинг сертификатов бесплатным сервисом haveibeenexpired. Не скажу, что он мне особо нужен. Упоминаю его для того, чтобы познакомить с ним тех, кто ещё не знаком. Удобный сервис, который раз в неделю присылает отчёт по всем добавленным сайтам. Формат подобных отчётов - наиболее частый вопрос, который мне задают по Zabbix. Люди хотят периодически получать актуальные сводки по набору метрик и триггеров. Текущие отчёты в Zabbix работают не совсем так, как некоторым хочется. Реализовано не очень удобно.
У вас как праздники прошли? Мониторинг и проблемы в целом напрягали?
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#мониторинг
Последние несколько дней развлекал себя чисткой снега 💪🏻. Помимо своего немаленького участка и выезда на шоссе, помощи запросили детский сад и школа. У них там всё за праздники замело. Плюс, чистить приходилось родник на крутом склоне с лестницей на 185 ступенек и проходными площадками, куда я регулярно хожу за ключевой водой. По мелочи ещё несколько парковочных мест расчистил, чтобы поставить машину. Приходится с собой лопату возить и готовить парковку, прежде чем можно оставить машину где-либо.
Праздники прошли ровно, вообще без эксцессов, только мониторинг немного посемафорил, но исключительно из-за того, что у меня его много. Так как в праздники частенько что-то переключают и перенастраивают по ночам те, кто не может себе позволить это делать в другое время, были некоторые сообщения о недоступности, но конкретно вся моя инфраструктура работала нормально.
Пользуясь случаем, расскажу, как у меня глобально мониторинг устроен. У заказчиков локально настроены собственные мониторинги Zabbix и кое-где Prometheus. Последний лично мне особо не нужен, потому что нет динамических сред и метрик, которые надо собирать часто и подробно смотреть на них. Пользуюсь им, чтобы не терять навык управления связанной с ним экосистемой.
Отдельно на VPS стоит мой личный мониторинг Zabbix+Grafana, куда в дашборд собраны триггеры со всех управляемых мной мониторингов Zabbix. Этот мониторинг выполняет в том числе некоторые внешние проверки к сервисам заказчиков, которые доступны публично - сайты, сертификаты, точки входа в инфраструктуру.
Также у меня отдельно поднят Gatus для себя и тех же внешних сервисов заказчиков. Мне очень нравится этот мониторинг. С тех пор, как познакомился с ним, использую постоянно. Обновляю его, добавляю проверки. Больше всего нравится наглядный общий дашборд. Уведомления настроены в отдельную группу в Telegram.
В качестве внешнего сервиса мониторинга, который вообще не зависит от меня, использую UptimeRobot. Использую там простые проверки некоторых ключевых вещей. Нравится приложение на Android с пушами. Мне бесплатного плана хватает для своих нужд.
Всё это вместе, конечно, немного спамит, так как проверки проходят из разных мест и бывает, что с какой-то точки что-то временно недоступно. Но так как из несколько, я понимаю, что если они не ругаются все сразу, то в целом всё в порядке. Если хоть один мониторинг видит, что конечная цель доступна, значит сам конечный сервер работает и отвечает на запросы.
Ещё настроен мониторинг сертификатов бесплатным сервисом haveibeenexpired. Не скажу, что он мне особо нужен. Упоминаю его для того, чтобы познакомить с ним тех, кто ещё не знаком. Удобный сервис, который раз в неделю присылает отчёт по всем добавленным сайтам. Формат подобных отчётов - наиболее частый вопрос, который мне задают по Zabbix. Люди хотят периодически получать актуальные сводки по набору метрик и триггеров. Текущие отчёты в Zabbix работают не совсем так, как некоторым хочется. Реализовано не очень удобно.
У вас как праздники прошли? Мониторинг и проблемы в целом напрягали?
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#мониторинг
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍137👎13
В одном из недавних видео увидел обзор сетевого сканера Scanopy, который умеет автоматически искать новые узлы и добавлять их на схему. По описанию работы и внешнему виду всё понравилось, поэтому решил попробовать. Развернул у себя дома и поразбирался с ним. Для тех, кто не захочет читать всю заметку, сразу передам суть:
◽️Проект новый, ещё не настоялся. Для домашней или тестовой инфраструктуры сойдёт, в прод я бы пока не ставил.
◽️Выглядит красиво, реально всё делает автоматически: ищет узлы, сканирует порты, сам определяет, как может, работающие сервисы, добавляет всё это на схему.
◽️Возможностей гибких настроек мало, сами настройки неинтуитивны. Я некоторое время возился, пока разобрался, как там всё устроено.
В итоге принял решение дома его оставить. У меня много всевозможных сетевых устройств (компы, ноуты, сервера, камеры, бытовые устройства, свитчи, смартфоны). Вручную рисовать схемы лень, особо не надо. Смотреть на неизвестное устройство иду в DHCP-сервер. Даже в таком виде, как это делает Scanopy, выглядит неплохо. Лучше, чем ничего, и красивее, чем я нарисовал в Zabbix 😁.
Scanopy состоит из трёх компонентов:
1️⃣ Сервер с веб интерфейсом
2️⃣ Сканирующий агент
3️⃣ СУБД Postgresql для хранения состояния
Всё это упаковано в Docker и описано в Compose. Запускается в 3 действия:
Идём в http://<server-ip>:60072 и создаём учётку администратора. Scanopy определяет локальную сеть, в которой работает, автоматически запускает сканирование сети и построение схемы. То есть даже настраивать ничего не надо. Развернули, зашли, выполнили пару шагов для регистрации и процесс пошёл.
Для быстрого запуска в LXC контейнере Proxmox есть готовый скрипт из набора Proxmox VE Helper-Scripts. Думаю, у себя в таком исполнении установлю.
Сканирование сети длится относительно долго (у меня минут 15), в зависимости от количества узлов. Для каждого узла сканируются все открытые порты и определяются службы по типу того, как это делает Nmap. Возможно он, или, как минимум, признаки служб из его набора используются для определения. В документации не уточнён этот момент. Просто указано, что написан сканер с распознаванием служб по различным признакам.
Далее для узлов делаются более тонкие настройки - указание имени, редактирование служб, настройка связей, расположение на схеме и т.д. В целом, получается наглядно и симпатично, особенно если доработать схему самому. Но даже автоматически нормально получается.
Вместо своей схемы, которую я ещё не доработал, покажу примеры с сайта, как это может выглядеть. Прикрепил некоторые картинки.
В целом, продукт интересный. Если получится развитие, то будет неплохо. А автор, судя по всему, задумал развивать, так как сразу одновременно с self-hosted версией, сделал платную по модели SaaS, написал документацию. Так что пожелаю ему успехов в этом деле. Думаю, подобная программа многим упростит рутину.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#network
◽️Проект новый, ещё не настоялся. Для домашней или тестовой инфраструктуры сойдёт, в прод я бы пока не ставил.
◽️Выглядит красиво, реально всё делает автоматически: ищет узлы, сканирует порты, сам определяет, как может, работающие сервисы, добавляет всё это на схему.
◽️Возможностей гибких настроек мало, сами настройки неинтуитивны. Я некоторое время возился, пока разобрался, как там всё устроено.
В итоге принял решение дома его оставить. У меня много всевозможных сетевых устройств (компы, ноуты, сервера, камеры, бытовые устройства, свитчи, смартфоны). Вручную рисовать схемы лень, особо не надо. Смотреть на неизвестное устройство иду в DHCP-сервер. Даже в таком виде, как это делает Scanopy, выглядит неплохо. Лучше, чем ничего, и красивее, чем я нарисовал в Zabbix 😁.
Scanopy состоит из трёх компонентов:
Всё это упаковано в Docker и описано в Compose. Запускается в 3 действия:
# curl https://get.docker.com | bash -# curl -O https://raw.githubusercontent.com/scanopy/scanopy/refs/heads/main/docker-compose.yml# docker compose up -dИдём в http://<server-ip>:60072 и создаём учётку администратора. Scanopy определяет локальную сеть, в которой работает, автоматически запускает сканирование сети и построение схемы. То есть даже настраивать ничего не надо. Развернули, зашли, выполнили пару шагов для регистрации и процесс пошёл.
Для быстрого запуска в LXC контейнере Proxmox есть готовый скрипт из набора Proxmox VE Helper-Scripts. Думаю, у себя в таком исполнении установлю.
Сканирование сети длится относительно долго (у меня минут 15), в зависимости от количества узлов. Для каждого узла сканируются все открытые порты и определяются службы по типу того, как это делает Nmap. Возможно он, или, как минимум, признаки служб из его набора используются для определения. В документации не уточнён этот момент. Просто указано, что написан сканер с распознаванием служб по различным признакам.
Далее для узлов делаются более тонкие настройки - указание имени, редактирование служб, настройка связей, расположение на схеме и т.д. В целом, получается наглядно и симпатично, особенно если доработать схему самому. Но даже автоматически нормально получается.
Вместо своей схемы, которую я ещё не доработал, покажу примеры с сайта, как это может выглядеть. Прикрепил некоторые картинки.
В целом, продукт интересный. Если получится развитие, то будет неплохо. А автор, судя по всему, задумал развивать, так как сразу одновременно с self-hosted версией, сделал платную по модели SaaS, написал документацию. Так что пожелаю ему успехов в этом деле. Думаю, подобная программа многим упростит рутину.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#network
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍147👎2
Столкнулся вчера на одном из серверов с ситуацией, которая взорвала мне мозг. Пол дня с ней провозился, пока не разобрался. Да и то считай, что случайно. Технического решения я так и не нашёл. Возможно кто-то подскажет его в комментариях.
Настраивал на почтовом сервере плагин для RoundCube, который позволяет пользователям самостоятельно настраивать сбор почты со сторонних почтовых ящиков. Поразбирался некоторое время, в итоге всё получилось. Плагин использует для сбора Fetchmail. Настройки хранит в базе MySQL, пользователи сами всё настраивают через веб интерфейс своего ящика.
В процессе настройки заметил в системном логе syslog строки, которых раньше там не было:
Стало интересно, кто же это пытается подключиться к серверу Mariadb. Такого пользователя там не существует. Строки появляются строго раз в минуту.
Первым делом включил подробный лог запросов. Там обычно сразу видно, откуда идут подключения, если они сетевые. Добавил в настройки службы и перезапустил её:
В general.log посыпались эти попытки:
Как видно, подключение идёт через сокет, то есть локально. Но кто подключается, не понятно. На этом этапе я ещё не понимал, насколько задача непроста, так как изначально предположил, что будет нетрудно какими-то утилитами посмотреть, кто подключается. Сразу прикинул, что наверное тут поможет auditd или lsof. Они по идее могут отслеживать подключения к сокету.
С lsof всё относительно просто. Я уже раньше делал подборку с основными командами, где в том числе можно посмотреть подключения к сокетам. Смотрим открытый сокет mysql и подключения к нему:
Тут ничего полезного я не увидел, так как показывает результат в текущем моменте. Отследить вручную кратковременный запрос так нереально.
Дальше прошёл мучать ИИ. Те, кто с ним постоянно работают, наверное представляют, как он умеет водить по кругу. Он мне напредлагал кучу всего, но ничего не помогло. Я большие надежды возлагал на auditd, но так и не смог его настроить, чтобы отслеживать подключения к Mariadb через сокет. Не помог мне ни ChatGPT, ни DeepSeek, ни Perplexity. Все примерно одинаковое советовали: auditd, strace, ionotify, проверить кроны, таймеры и т.д.
Решил сам немного подумать. Посмотрел, когда появились первые записи в логе с этими подключениями. Оказалось, что сразу через минуту после установки мной пакета libdbd-mysql-perl. Он нужен для перлового скрипта для Fetchmail. Этот пакет - просто библиотека. Посмотрел, что он ставит в систему:
Там нет ничего связанного со службами, кронами и вообще чем-либо, что может запускаться и работать. Это наблюдение меня окончательно сбило с толку. Я внимательно посмотрел ещё раз все логи, в том числе старые. Не было раньше подобных подключений. Появились ровно после установки этого пакета.
Не буду вас дальше томить. Ещё какое-то время я вручную изучал сервер. Всё, что там запущено. Грешил на мониторинг. Там работает prometheus-postfix-exporter. Но виновник оказался не он, хотя смотрел я в нужную сторону. Там же был установлен Monitorix, про который я недавно писал. И то ли он по умолчанию собирает метрики MySQL, то ли я включил и забыл, но факт в том, что именно он долбился в сокет с несуществующей учёткой, которая там записана по умолчанию.
Скорее всего он использует именно эту библиотеку для подключений и пока я её не установил, он их не выполнял. Сюрпризом для меня оказалось то, что я с не смог средствами системы и Mariadb точно установить, кто подключается к сокету. Если вы знаете, как это сделать, поделитесь информацией.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#mysql
Настраивал на почтовом сервере плагин для RoundCube, который позволяет пользователям самостоятельно настраивать сбор почты со сторонних почтовых ящиков. Поразбирался некоторое время, в итоге всё получилось. Плагин использует для сбора Fetchmail. Настройки хранит в базе MySQL, пользователи сами всё настраивают через веб интерфейс своего ящика.
В процессе настройки заметил в системном логе syslog строки, которых раньше там не было:
[Warning] Access denied for user 'user'@'localhost' (using password: YES)Стало интересно, кто же это пытается подключиться к серверу Mariadb. Такого пользователя там не существует. Строки появляются строго раз в минуту.
Первым делом включил подробный лог запросов. Там обычно сразу видно, откуда идут подключения, если они сетевые. Добавил в настройки службы и перезапустил её:
general_log = 1general_log_file = /var/log/mariadb/general.logВ general.log посыпались эти попытки:
32 Connect user@localhost on using Socket32 Connect<>Access denied for user 'user'@'localhost' (using password: YES)Как видно, подключение идёт через сокет, то есть локально. Но кто подключается, не понятно. На этом этапе я ещё не понимал, насколько задача непроста, так как изначально предположил, что будет нетрудно какими-то утилитами посмотреть, кто подключается. Сразу прикинул, что наверное тут поможет auditd или lsof. Они по идее могут отслеживать подключения к сокету.
С lsof всё относительно просто. Я уже раньше делал подборку с основными командами, где в том числе можно посмотреть подключения к сокетам. Смотрим открытый сокет mysql и подключения к нему:
# ss -lx | grep mysqld# lsof /run/mysqld/mysqld.sockТут ничего полезного я не увидел, так как показывает результат в текущем моменте. Отследить вручную кратковременный запрос так нереально.
Дальше прошёл мучать ИИ. Те, кто с ним постоянно работают, наверное представляют, как он умеет водить по кругу. Он мне напредлагал кучу всего, но ничего не помогло. Я большие надежды возлагал на auditd, но так и не смог его настроить, чтобы отслеживать подключения к Mariadb через сокет. Не помог мне ни ChatGPT, ни DeepSeek, ни Perplexity. Все примерно одинаковое советовали: auditd, strace, ionotify, проверить кроны, таймеры и т.д.
Решил сам немного подумать. Посмотрел, когда появились первые записи в логе с этими подключениями. Оказалось, что сразу через минуту после установки мной пакета libdbd-mysql-perl. Он нужен для перлового скрипта для Fetchmail. Этот пакет - просто библиотека. Посмотрел, что он ставит в систему:
# dpkg -L libdbd-mysql-perlТам нет ничего связанного со службами, кронами и вообще чем-либо, что может запускаться и работать. Это наблюдение меня окончательно сбило с толку. Я внимательно посмотрел ещё раз все логи, в том числе старые. Не было раньше подобных подключений. Появились ровно после установки этого пакета.
Не буду вас дальше томить. Ещё какое-то время я вручную изучал сервер. Всё, что там запущено. Грешил на мониторинг. Там работает prometheus-postfix-exporter. Но виновник оказался не он, хотя смотрел я в нужную сторону. Там же был установлен Monitorix, про который я недавно писал. И то ли он по умолчанию собирает метрики MySQL, то ли я включил и забыл, но факт в том, что именно он долбился в сокет с несуществующей учёткой, которая там записана по умолчанию.
Скорее всего он использует именно эту библиотеку для подключений и пока я её не установил, он их не выполнял. Сюрпризом для меня оказалось то, что я с не смог средствами системы и Mariadb точно установить, кто подключается к сокету. Если вы знаете, как это сделать, поделитесь информацией.
———
ServerAdmin:
#mysql
Please open Telegram to view this post
VIEW IN TELEGRAM
👍106👎1
Я на днях писал про программу для построения съемы локальной сети Scanopy. И так совпало, а может и не совпало, а авторы читают мой канал, что мне написали авторы программы 10-Strike LANState. У них вышла бесплатная Pro версия на 25 хостов, которой раньше не существовало. Были только платные.
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#мониторинг #отечественное
Это старая и известная компания в кругах офисных системных администраторов. Про один из их продуктов я когда-то давно писал - 10-Страйк Мониторинг Сети. Этим программам очень много лет, они выглядят старомодно и передают привет из двухтысячных. Но тем не менее до сих пор поддерживаются и работают на современных системах, стоят недорого, есть в реестре отечественного ПО.
Я установил себе 10-Strike LANState и настроил схему домашней сети. В этот раз не поленился и аккуратно всё добавил, изучил, попробовал.
У меня впечатления двойственные. С одной стороны всё работает, возможностей много, 25 хостов добавить можно. Программа просканировала сеть и добавила все узлы. Дальше я уже вручную доделывал. С другой стороны выглядит она так себе, интерфейс неотзывчивый, иконки очень старые, их мало. Их можно и самому загрузить, возможность есть, но кому захочется этим заниматься?
Так как я сам из того же прошлого, когда появились эти программы, интерфейс мне привычен. Так что, я думаю, пока эта программа у меня останется. У неё есть несколько плюсов, которые я отмечу:
➕ Программа легко и быстро настраивается. Windows like стиль установщика и настройки мышкой в менюшках.
➕ Есть индикация хостов в режиме реального времени. По сути эта программа очень похожа на Friendly Pinger. У меня кто-то недавно спрашивал, есть ли какой-то современный аналог этой программы. Вот это он и есть.
➕ В LANState можно включить встроенный веб сервер и смотреть интерактивную карту через браузер.
➕ Через LANState можно быстро выключать виндовые компьютеры. Мне лично это удобно, так как перед сном обычно проверяю, чтобы всё выключено было.
Теперь минусы:
➖ Бесплатная версия работает как обычная программа под Windows, даже не служба. Сглаживает это тот факт, что разработчики поддерживают работу через Wine. То есть на Linux её запустить тоже можно.
➖ Интерфейс, как я уже сказал, на любителя. Настойка иконок, подписей и связей немного неинтуитивна. Я привыкал какое-то время, пока настраивал.
➖ Для завершения работы постоянно приходится вводить учётную запись на компьютере. Нет возможности сохранить.
➖ Не знаю, на чём написана программа, но интерфейс подтормаживает, неотзывчивый.
А вообще, эта программа очень функциональная. Там много всего реализовано:
◽️Базовый мониторинг стандартных метрик, плюс расширение своими скриптами. Через программу можно ходить по WMI или SSH, выполнять запросы. Для каждого узла можно свой дашборд собирать с метриками.
◽️Метрики можно выносить в интерактивном режиме на схему.
◽️LANState может выступать в виде Syslog сервера и принимать логи. Я так понимаю, это для сетевых устройств сделано. Для них же поддерживаются запросы по SNMP, чтобы собирать метрики. Помимо метрик, можно забирать конфигурации и некоторые другие вещи. Есть встроенная поддержка популярных вендоров, в том числе Mikrotik.
◽️Можно выполнять задачи по расписанию. Например, выключать все компьютеры в какое-то время.
◽️Можно настроить действие при двойном клике по узлу. Например, открыть веб страницу, RDP соединение или что-то ещё.
◽️Можно добавить сетевые диски, мониторить их доступность.
Ну и много других возможностей, которые будут интересны в первую очередь администраторам офисов, где преимущественно виндовые машины, сетевые и прочие устройства (камеры, принтеры и т.д.).
В целом программа оставила приятное впечатление. Нормальное функциональное решение в бесплатной версии. Если захочется купить для большего числа узлов, то стоит недорого, лицензии бессрочные. Мне кажется, это хорошее решение для школ, других бюджетных учреждений с простой внутренней инфраструктурой.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#мониторинг #отечественное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍97👎25
Для тех, кто работал с OpenVPN, привычен метод аутентификации на основе клиентских сертификатов, который используется там по умолчанию. В веб сервере Angie ровно эти же сертификаты можно использовать для аутентификации клиентов при доступе к закрытым сервисам.
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
Создаём свой CA:
По умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
Для передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
Передаём
Перезапускаю веб сервер:
Захожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
Эти команды обновят файл отзывов
Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#angie
Мне никогда на глаза не попадалась подобная реализация. Я примерно представлял, что так можно, но когда увидел в недавнем видео, как это легко и быстро настраивается, решил проверить и сделать краткую инструкцию, чтобы можно было повторить в случае необходимости. Мне видится это удобным методом, когда есть возможность установить клиентский сертификат в браузер. Это и безопасно, и удобно для пользователя, если он сумеет один раз настроить доступ.
Для реализации подобного метода понадобится свой CA для выпуска сертификатов, сертификат сервера, сертификаты клиентов. Подойдёт любая инструкция для OpenVPN, где делается всё то же самое. В качестве программы для работы с сертификатами можно использовать:
◽️Easy-RSA - популярный набор скриптов на базе openssl.
◽️Step-CA - своя локальная служба для управления CA с простой автоматизацией перевыпуска.
◽️CFSSL - современная одиночная утилита от CloudFlare с конфигами в формате json.
◽️XCA - кроссплатформенное приложение с GUI, в отличие от предыдущих вариантов консольных команд.
Для простоты и краткости команд я возьму Easy-RSA. Но если вы хотите в графическом интерфейсе всё делать, то берите XCA. Принцип там такой же.
Ставим Easy-RSA:
# apt install easy-rsaСоздаём свой CA:
# make-cadir /etc/angie/easy-rsa# cd /etc/angie/easy-rsa# ./easyrsa init-pki# ./easyrsa build-caПо умолчанию сертификат для CA выпускается на 10 лет, остальные - на 825 дней. Сделаем остальные тоже 10-ти летними. Добавляем в файл
vars параметр:set_var EASYRSA_CERT_EXPIRE 3650Заодно увеличим время жизни списка отозванных сертификатов до года. Я не знаю, как ведёт себя Angie, но OpenVPN перестаёт принимать новые аутентификации, когда файл отзывов протухает.
set_var EASYRSA_CRL_DAYS 365Остальные параметры меняйте по своему усмотрению. Они некритичны. Выпускаем сертификаты и ключи для сервера и первого клиента:
# ./easyrsa build-server-full server nopass# cp /etc/angie/easy-rsa/pki/issued/server.crt /etc/angie# cp /etc/angie/easy-rsa/pki/private/server.key /etc/angie# ./easyrsa build-client-full client01 nopassДля передачи клиенту сертификат и ключ от него надо упаковать в один контейнер формата PKCS12:
# openssl pkcs12 -export -in /etc/angie/easy-rsa/pki/issued/client01.crt -inkey /etc/angie/easy-rsa/pki/private/client01.key -out client01.p12Передаём
client01.p12 клиенту. Готовим конфигурацию виртуального сервера Angie. Показываю на примере конфигурации default.conf с доступом по IP:server { listen 443 ssl; server_name localhost; access_log /var/log/angie/host.access.log main; ssl_certificate /etc/angie/server.crt; ssl_certificate_key /etc/angie/server.key; ssl_client_certificate /etc/angie/easy-rsa/pki/ca.crt; ssl_crl /etc/angie/easy-rsa/pki/crl.pem; ssl_verify_client on; location / { root /usr/share/angie/html; index index.html index.htm; }}Перезапускаю веб сервер:
# angie -t# angie -s reloadЗахожу на веб сервер по IP - получаю ошибку: "400 Bad Request
No required SSL certificate was sent".
Надо добавить сертификат в браузер. В Яндекс.Браузере это делается в разделе Настройки ⇨ Системные ⇨ Сеть ⇨ Управление сертификатами ⇨ Импорт ⇨ Выбираем скопированный файл
client01.p12. Теперь мы попадаем на стандартную страницу веб сервера. Если нужно запретить доступ пользователю - отзываем его сертификат:
# ./easyrsa --batch revoke client01# ./easyrsa gen-crl# angie -s reloadЭти команды обновят файл отзывов
crl.pem, который проверяет веб сервер. Последний надо обязательно заставить перечитать конфигурацию, иначе он не примет изменения. Теперь client01 получит ошибку доступа: "The SSL certificate error".Простая и удобная аутентификация. Берите на вооружение.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#angie
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍144👎4