ServerAdmin.ru. Страница 14

В поисках надежного корпоративного файрвола следующего поколения в условиях импортозамещения? Регистрируйтесь на вебинар «Импортозамещение сетевой безопасности: Континент 4.1.5 на защите периметра», который пройдёт 🗓 13 апреля в 12:00. Мы продолжаем серию вебинаров по импортозамещению и рассмотрим работу межсетевого экрана Континент 4 на реальных примерах. На этом вебинаре расскажем и продемонстрируем: 🔹 как на Континент 4 работает контроль приложений и веб-фильтрация. 🔹 как Континент 4 может идентифицировать пользователей и разграничивать им доступ. 🔹 посмотрим на новый функционал в виде антивируса, GeoIP и многофакторку. 🔹 как при помощи Континент 4 создать VPN между филиалами. 🔹 как при помощи ЦУС легко настроить сбор и анализ логов для отчетности. 🔹 как централизованно управлять устройствами через ЦУС. Регистрация на вебинар ⏩ https://clck.ru/3437FK #реклама

​​Когда просматривал материалы CIS по настройке операционных систем, отметил себе программу AIDE (Advanced Intrusion Detection Environment), про которую раньше не знал. Решил изучить. AIDE — это небольшой, но мощный бесплатный инструмент обнаружения изменений в файлах и каталогах с открытым исходным кодом. У него небольшой текстовый конфиг, в котором можно явно указывать каталоги для наблюдения, либо использовать регулярные выражения для более точечного использования. Работает программа довольно просто — создаёт снимки выбранных частей файловой системы и потом сравнивает их. Установить AIDE не сложно, так как эта программа есть в репозиториях популярных дистрибутивов. # apt install aide У программы много готовых настроек и возможностей. Я не буду всё это описывать, чтобы не раздувать заметку. В сети есть много материалов по ней. Дефолтный конфиг насыщен настройками для слежения за системой, можно его изучить. Если не хочется разбираться, а надо проверить работу, то покажу простой пример. Будем наблюдать за изменением файлов сайта в директории /var/www/html. Отслеживать можно как содержимое файлов, так и атрибуты. Для этого переименовываем изначальный конфиг и делаем свой, где будет только то, что нам надо: database_in=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new database_new=file:/var/lib/aide/aide.db.new gzip_dbout=yes report_summarize_changes=yes report_grouped=yes log_level=warning report_level=changed_attributes ALL = p+u+g+acl+sha256+ftype /var/www/html ALL Создаём базу данных о файлах: # aideinit В директории /var/lib/aide появятся два файла aide.db и aide.db.new. Теперь создадим новый файл в директории /var/www/html: # touch /var/www/html/test.txt Проверяем изменения с помощью aide: # aide --check --config /etc/aide/aide.conf В консоли увидите информацию о добавленном файле: f+++++++++++++++++: /var/www/html/test.txt Для дальнейших проверок, нужно текущий файл с базой данных сделать основным, обновив его перед этим: # aide --update --config /etc/aide/aide.conf # mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db Теперь проверьте, как работает контроль за изменением владельца файлов. Измените владельца у файла и ещё раз запустите проверку: # chown mail /var/www/html/test.txt # aide --check --config /etc/aide/aide.conf File: /var/www/html/test.txt  Uid    : 0                | 8 Владелец файла с root (id 0) изменился на mail (id 8) Подобные проверки оборачиваются в скрипты и добавляются в планировщик cron или systemd-timers. Базы данных в случае необходимости можно сохранять и оставлять на долгосрочное хранение, а не держать только прошлое и новое состояние. ⇨ Сайт / Исходники #security #linux

​​У Dmitry Lambert, Head Of Customer Support Zabbix, в блоге вышло подробное видео на тему установки Zabbix 6.4: ⇨ Zabbix 6.4 Installation Guide: Comprehensive Tutorial for CentOS Stream with MySQL Это для тех, кто любит получать инфу не от ноунеймов в интернете, а непосредственно от специалистов вендора. В целом, в видео ничего особенного нет, кроме того, что подробно прокомментирован каждый шаг. Я на всякий случай видео посмотрел и подметил для себя один момент, о котором не знал. В Zabbix есть параметр AllowUnsupportedDBVersions, который позволяет отключить проверку соответствия версии СУБД, если используется неподдерживаемая версия. В некоторых случаях работа на неподдерживаемой версии возможна, хоть и не рекомендована. Если у вас по какой-то причине нет возможности обновить СУБД, а более новая версия Zabbix Server не поддерживает её, можно воспользоваться этим параметром. И раз уж зашла речь про Zabbix, расскажу небольшую историю, которая недавно со мной произошла. В какой-то момент сервер, который мониторится с помощью Zabbix, стал пропускать проверки. И вообще периодически вылетать с мониторинга и возвращаться. При этом в логах сервера были сообщения: Zabbix agent item "agent.ping" on host "servername" failed: \ first network error, wait for 15 seconds resuming Zabbix agent checks on host "servername": \ connection restored И так постоянно. Мониторинг и сам сервер общаются через интернет, находятся далеко друг от друга. При этом пинги ходят идеально, пакеты не пропадают, отклик стабильный. Я проверил всё, что только можно. И на сервере, и на клиенте. Ничего не помогает. Стал вручную UDP пакеты с агента на сервер слать и заметил, что они иногда пропадают. Где-то по пути следования пакеты теряются. С агента улетают, на сервер не приходят. Как решить этот вопрос, я не знал. Пришлось подставить костыль. Сильно уменьшил таймаут ожидания на сервере и время повторной проверки отключившегося хоста: Timeout=5 UnreachableDelay=5 Так хотя бы после первой сетевой проблемы, повторная проверка производится максимум через 10 секунд и хост снова возвращается на мониторинг. До этого по 15 секунд были значения и хост частенько мог отваливаться на время вплоть до минуты. Из-за этого все графики были рваные. Начались эти проблемы внезапно и так же внезапно закончились через пару дней. Похоже где-то на магистрали были проблемы с хождением UDP трафика. Как решать подобные проблемы, я не знаю. Скорее всего никак, кроме как писать в поддержку своего хостера. Но я не уверен, что они будут суетиться по таким запросам. #zabbix

🔥 Как начинающему архитектору сетей провести BGP-диагностику?  🚀 Сделайте первые шаги 13 апреля в 20:00 мск на открытом уроке «BGP-диагностика: разбор инцидентов» в OTUS. На занятии онлайн-курса «Дизайн сетей ЦОД» мы предложим схему расследования BGP инцидента, по которой может действовать сетевой инженер.  💻 В ходе занятия мы рассмотрим недавние сетевые аварии и то, как можно использовать различные сервисы BGP-аналитики для выявления деталей.  👉 Используйте эту возможность, чтобы протестировать курс! Продолжить обучение на курсе после изучения открытого урока можно в рассрочку.  ❇️ Для участия пройдите вступительный тест https://otus.pw/xLN6v/ #Реклама. Информация о рекламодателе на сайте www.otus.ru.

​​Для тех, кто впервые настраивает веб сервер, бывает странно видеть названия imap папок вида: ◽ .&BB4EQgQ,BEAEMAQyBDsENQQ9BD0ESwQ1- ◽ .&BBoEPgRABDcEOAQ9BDA- ◽ .&BCcENQRABD0EPgQyBDgEOgQ4- Создаётся впечатление, что с сервером какие-то проблемы. На самом деле это не проблема. Почему-то исторически сложилось, что названия imap директорий хранятся в кодировке UTF-7. Для англоязычных названий проблем нет, а вот кириллические понять невозможно. Вы можете воспользоваться любым преобразователем кодировок либо в виде веб сервиса, либо прямо в консоли с помощью iconv -f UTF7 -t UTF8. Ещё проще скопировать на почтовый сервер готовый скрипт. И пользоваться им, когда понадобится. Текст можете проверить, там ничего особенного. # git clone https://github.com/Yar4e/lsmaildir # cd lsmaildir # chmod u+x lsmaildir # ./lsmaildir /opt/tegu/mail/zeroxzed.ru/vladimir/.maildir .Отправленные   .&BB4EQgQ,BEAEMAQyBDsENQQ9BD0ESwQ1- .Архив          .&BBAEQARFBDgEMg- .Корзина        .&BBoEPgRABDcEOAQ9BDA- .Черновики      .&BCcENQRABD0EPgQyBDgEOgQ4- .Спам           .&BCEEPwQwBDw- cur             cur new             new tmp             tmp #mailserver

Забавный вчера диалог в комментариях ВК вышел. Интересно, кто-то встретил свою судьбу через профессию с помощью настройки дома кому-то компа или роутера? Меня в молодости пару раз приглашали молодые разведённые женщины с детьми настроить им что-то дома, но я отказывался от такого счастья. А больше и не помню случаев. Своим будущим жёнам я компы вообще не настраивал и практически не трогал, пока вместе жить не начинали. Максимум что-то посоветовать мог. Да и в целом никогда не стремился оказывать какие-то услуги противоположному полу. Считаю это проигрышной позицией для долгосрочных отношений. Всегда с удивлением смотрю, когда мужчины пытаются угодить или как-то помочь женщине, когда она явно в этом не нуждается, сделать её работу. Это выглядит жалко и нелепо. Даже со стороны мужчины это заметно, а сами женщины на раз считывают такое, как поведение неуверенного человека, хотя могут и не осознавать и говорить что-то противоположное. На работе это вообще грозит тем, что тебе на шею сядут. Сколько раз подобное видел. Одного знакомого постоянно отучаю себе на шею садить, но не в коня корм. Не умеет отказывать женщинам, а они пользуются. #мем

WAF — это, конечно, хорошо, но вы пробовали антибот? В отличие от WAF антибот не требует дополнительных настроек и не теряет в производительности, даже при сверханомальных объёмах трафика. Антибот Servicepipe Cybert с первого запроса фильтрует вредоносную автоматизацию и защищает веб-приложения от любых аномалий в трафике: – DDoS-атак; – ботнетов; – угроз из списка OWASP; – и 0-day уязвимостей. Оцените киллер-фичи: 1. Фильтрация без раскрытия SSL — можно поставить ресурс под защиту, не прекращая соответствовать требованиям PCI DSS 😎 2. Никакой капчи и блокировок по IP — пользователи насладятся скоростью загрузки контента, даже не заметив работу нашей защиты 👍🏻 3. Защищаем не только сайты, но и API мобильных приложений 💪🏻 4. Не требует настроек правил фильтрации и изменений в коде защищаемых приложений 🤘🏻 5. Прекрасно отрабатывает в связке с локальным WAF, сокращая количество инцидентов на нём в качестве вышестоящего offload-решения 👌🏻 Подробнее о высокой технологии — тут: servicepipe.ru Рекомендуем начать с телеграм-консультации #реклама

​​Решил познакомиться с ещё одним документом от CIS по рекомендациям для Debian 11. Там 874 страницы 😱. Делаю очень краткую выжимку основного, что может пригодиться в среднестатистическом сервере. Реализация рекомендаций подробно описана в самом документе. 🔹Отключите поддержку неиспользуемых файловых систем (cramfs, squashfs, udf и т.д.). Достаточно отключить соответствующие модули ядра. 🔹/tmp и /var/tmp лучше вынести в отдельный раздел со своими параметрами. Например, noexec, nosuid, nodev и т.д. В идеале, отдельный раздел и настройки должны быть ещё и у /var/log, /home, /dev/shm. 🔹Отключите автомонтирование устройств через autofs. Проверка: # systemctl is-enabled autofs 🔹Отслеживайте изменения в системных файлах, например с помощью AIDE (Advanced Intrusion Detection Environment): # apt install aide aide-common 🔹По возможности включайте, настраивайте (и страдайте 👹) AppArmor. 🔹Настройте синхронизацию времени какой-то одной службой (chrony, ntp или  systemd-timesyncd). 🔹Проверьте все открытые порты и отключите всё ненужное: # ss -tulnp 🔹Отключите неиспользуемые сетевые протоколы. Например, ipv6. 🔹Настройте Firewall. Запретите все соединения, кроме разрешённых явно (нормально закрытый файрвол). Не забудьте про все используемые протоколы. 🔹Настройте аудит доступа, изменения, удаления системных файлов с помощью auditctl. # apt install auditctl Убедитесь, что доступ к логам сервиса ограничен. 🔹Настройте логирование действий, выполняемых через sudo. Запретите использование su, если пользуетесь sudo. 🔹По возможности настройте отправку системных логов куда-то вовне. 🔹Отключите возможность подключаться пользователю root по ssh, если хотите отслеживать активность пользователей под их индивидуальными учётными записями. Сам документ — CIS Debian Linux 11 Benchmark. Напомню, что у меня есть заметка со списком действий, которые я обычно выполняю при настройке типового сервера под Linux. Надо будет её переработать с учётом этих рекомендаций. Кое-что туда точно можно добавить. Документ огромный, но на самом деле там не так много информации. Очень много подробностей по аудиту, логам, файрволу. Если вам реально нужно разобраться, как всё это настраивается, то там есть все примеры вплоть до каждой команды и скрипта. #cis #security #linux

​​У меня наконец-то дошли руки лично установить и настроить почтовый сервер Tegu (бесплатную версию). Так что теперь могу поделиться своими впечатлениями и первым опытом работы с ним. Я планирую написать по нему подробную статью, когда немного накопится опыт использования. Когда она выйдет неизвестно, поэтому решил сразу заметку сделать. ✅ Плюсы: 1️⃣ Простая и быстрая установка. Весь сервер это один скомпилированный бинарник, написанный на Go и один конфигурационный файл к нему. Никаких зависимостей от системных библиотек. Весь код реализован самостоятельно. Работает практически на любом линуксе. Скачиваем бинарник, рисуем конфиг, systemd юнит и всё, установка завершена. Обновление — это просто замена бинарника новой версией. 2️⃣ Сервер включает в себя службы smtp, imap и панель управления через веб интерфейс. Это очень удобно по сравнению с традиционными связками, когда надо отдельно ставить smtp, отдельно imap и отдельно какое-то управление. Установка и запуск базового сервера занимает буквально 10 минут, если вы делаете это не первый раз. И уже можно подключаться любым почтовым клиентом. Встроенного веб клиента нет. 3️⃣ В сервере реализована поддержка протокола milter, так что многие привычные службы, которые мы подключали через milter к postfix теоретически можно подключить и здесь. Как на деле это реализовано, надо смотреть и разбираться. 4️⃣ В сервер встроен функционал белых/чёрных спискв IP/email отправителей, технология Greylist, проверка по спискам DNSBL, проверка наличия SPF записи и блокировка в случае отсутствия таковых записей, глобальные правила сортировки и фильтрации, dkim. Также реализована защита от перебора паролей, типа fail2ban. 5️⃣ Сервер поддерживает хранение своего состояния в базе sqlite, а пользователей в json файле (пароли зашифрованы). По мне так это очень удобно для небольших серверов. Нет необходимости поднятия полноценной базы данных. Хранить там всё равно особо нечего и sqlite в этом плане отличное решение. 6️⃣ Для каждого домена можно указывать своё хранилище почты. Удобно для управления многодоменными серверами. 7️⃣ Есть возможность хранить почту в формате Maildir. Это позволяет легко бэкапить или переносить почту между серверами. К примеру, чтобы перенести почту с сервера postfix, достаточно просто скопировать почту из ящиков. 🔴 Минусы: 1️⃣ Малоинформативный лог. По умолчанию пишется в journald, настроек для него практически нет. Я много времени потратил на то, чтобы запустить защищённые соединения. Указал путь к сертификатам let's encrypt, но служба на портах 465 и 993 не запускалась. В логах пусто, ошибок нет. Уже в процессе разбирательства по чисто своей догадке я предположил, что возможно у сервера нет доступа к сертификатам. Tegu запускается от системного пользователя mail. И у него действительно нет доступа к стандартной директории /etc/letsencrypt/live. Когда исправил это, почтовый сервер запустился на указанных портах и шифрованные подключения заработали. 2️⃣ В документации указано, что сервер работает только с доверенными сертификатами, самоподписанные не поддерживаются: "Использование самоподписанных сертификатов вызовет ошибку". 3️⃣ Документация немного сумбурная. Не всё в ней отражено, что-то дублируется в разных статьях (например, установка и ещё одна установка и эксплуатация, где описана настройка кучи веб клиентов, которые к серверу не имеют отношения). Например, у меня не стартовала служба smtp на 25 порту. Оказалось, что надо было создать через веб интерфейс очередь smtp. Для меня это было неочевидно. 💡Впечатление от сервера и его концепции положительные. Мне кажется, разработчики заняли очень удачную нишу. Аналогов просто нет, где можно взять и быстро поднять почтовый сервер с базовым функционалом. Все бесплатные решения — это связки и обвес вокруг postfix + dovecot + БД + dkim + какой-то интерфейс управления. Несмотря на то, что сервер видел в первый раз, я его настроил за пару часов чтения доков. Взял VM: 1 CPU, 1GB памяти 💪🏻. #mailserver

🧨 Узнайте, как настраивать дистрибутивы в Linux!  Приходите 14 апреля в 20:00 на вебинар для новичков. 🔥 Тема вебинара: «Настройка сети в Linux».  На занятии мы рассмотрим основные инструменты для работы с сетью в Linux, встречающиеся в таких популярных дистрибутивах как CentOS, Ubuntu, ArchLinux.  👉 Специальные знания для участия не требуются. Нужно только зарегистрироваться на вебинар https://otus.pw/UM4A/ 📌 Занятие проведет Андрей Буранов, специалист по UNIX-системам в Mail.Ru Group и преподаватель OTUS. Не упустите возможность познакомиться с экспертом! Больше полезного ждет вас на курсе «Administrator Linux». #Реклама. Информация о рекламодателе на сайте www.otus.ru

​​Несколько месяцев с момента покупки нового ноута и установки на него лицензионной Windows 11 Pro я мучался и страдал (не сильно) от одной досадной ошибки. Я не мог подключиться по RDP с именем учётной записи Администратор, написанной по-русски. При этом на сервере, куда подключался, в журнале появлялась запись о том, что произошла неудачная попытка подключения из-за неверных учётных данных. Пару раз я с наскока пытался решить эту проблему и оба раза терпел неудачу. В интернете почти нет информации по этой ошибке, а у большинства всё в порядке. Тем не менее, есть тема на oszone, где люди обсуждали эту же проблему, так что я убедился, что не один с ней. Мне не помогли советы, что указаны там. Пришлось разбираться самостоятельно. По косвенным признаком было ясно, что проблема в современной системе защиты Windows и её компонентов: Credential Guard и Virtualization-Based security. Основная проблема в том, что простого способа отключить эти защиты нет. А степень защищённости этих защит зависит от конкретного железа. Где-то есть возможность остановить эти службы через настройки групповой политики, где-то через правку реестра, а где-то через правку раздела UEFI, так как во время загрузки настройки защиты восстанавливаются из него. Как вы уже могли догадаться, у меня был третий вариант, поэтому никакие другие советы мне не помогли. Мой ноутбук соответствует следующим требованиям: ◽ Поддержка системы безопасности на основе виртуализации ◽ Безопасная загрузка ◽ TPM 1.2 или 2.0 ◽ Блокировка UEFI ◽ Расширения виртуализации в CPU Благодаря этому я был очень сильно защищён и отключить Credential Guard без правки UEFI мне было нельзя. Рассказываю, как я в итоге отключил эту злополучную защиту. Для начала показываю, как проверить её статус. Открываем консоль powershell и вводим команду: (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning Ответ 0 — выключена, 1 — включена. У меня она всегда была включена, что бы я ни делал в настройках или реестре. Я часа два возился с ноутом и перепробовал просто всё. Хоть систему сноси. Настолько всё это мне надоело. Причём не сказать, что прям сильно мне досаждало, несколько месяцев обходился. Раздражало то, что я не могу решить проблему. ✅В итоге что помогло: 1️⃣ Открываем локальные групповые политики и идём в раздел: Конфигурация компьютера ⇨ Административные шаблоны ⇨ Система ⇨ Device Guard ⇨ Включить средство обеспечения безопасности на основе виртуализации. Ставим состояние Отключена. 2️⃣ Идём в реестр и убеждаемся, что установлены следующие параметры: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags и HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags. Значения должны быть 0, тип — REG_DWORD. Если параметров нет, создайте их. 3️⃣ Открываем CMD с правами администратора и правим EFI с помощью bcdedit: > mountvol X: /s > copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y > bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader > bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" > bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} > bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO > bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: > mountvol X: /d После этого перезагружаем систему. В момент загрузки перед стартом ОС у вас спросят, действительно ли вы хотите отключить Credential Guard. В течении 10-ти секунд надо нажать F3, иначе система загрузится без изменения и придётся заново править EFI. Вот такие приключения у меня были с Windows 11. Пришлось разбираться самому. Нигде в интернете не видел, чтобы кто-то занимался правкой EFI. Скорее всего проблема именно с русской версией винды и возможностями ноута. Мне тут просто не повезло. #windows

​​У меня на канале и на сайте много материалов по теме бэкапов и инструментов для их выполнения, так что найти что-то новое и полезное довольно трудно. Напомню, что материалы по бэкапам удобнее всего посмотреть по тэгу #backup, к нему можно добавить тэг #подборка, либо посмотреть регулярно обновляемую статью на сайте — топ бесплатных программ для бэкапа. Но сегодня мне есть чем вас порадовать. Да и себя тоже, потому что программу, про которую я напишу дальше, я взял себе на вооружение. Речь пойдёт про бесплатный инструмент ReaR (Relax and Recover). Эта утилита есть в стандартных репозиториях популярных дистрибутивов, в том числе Debian. Ставится с некоторыми зависимостями, которые понадобятся по ходу дела: # apt install rear genisoimage syslinux nfs-common С помощью ReaR можно сделать бэкап как железного сервера, так и виртуальной машины. Во время бэкапа создаётся загрузочный ISO диск и общий tar архив с данными. Для восстановления достаточно загрузиться с ISO образа и подцепить архив с данными. Подобных программ немало, но принцип действия у них может быть разный. ReaR не только создаёт полную копию данных, но и учитывает многие нюансы при восстановлении. Я решил сразу же проверить его в реальной работе для переноса виртуальной машины с Proxmox на HyperV. Здесь полная копия системы не всегда поднимется без дополнительных действий. Для хранения архива я выбрал NFS шару. Можно использовать SMB, RSYNC или локальное хранение на внешнем USB устройстве (диск, флешка). Нарисовал простенький конфиг /etc/rear/local.conf: OUTPUT=ISO OUTPUT_URL=nfs://192.168.13.50/volume2/NonRaid BACKUP=NETFS BACKUP_URL=nfs://192.168.13.50/volume2/NonRaid BACKUP_PROG_EXCLUDE=("${BACKUP_PROG_EXCLUDE[@]}" '/media' '/var/crash') Запустил бэкап: # rear -v -d mkbackup Дождался его окончания и проверил, что получилось на выходе: # ls -h backup.log backup.tar.gz README rear-debian11-vm.iso rear-debian11-vm.log VERSION Забрал rear-debian11-vm.iso и скопировал на HyperV. Создал там виртулаку, подключил ISO, загрузился с него, выбрал восстановление. Убедился заранее, что на NFS сервер есть доступ с этого гипервизора. Дождался загрузки временной системы, запустил там: # rear -v -d recover Пошёл процесс автоматического восстановления. Я наблюдал за консолью, чтобы понять, как происходит восстановление. Программа восстанавливает разбивку дисков, создаёт LVM тома, файловые системы. То есть это не посекторное бездумное восстановление. После создания файловых систем пошла распаковка архива, затем генерация initramfs и в завершении установка GRUB. Когда всё завершилось, перезагрузил систему и загрузился с жёсткого диска. Система загрузилась без ошибок и каких-либо действий с моей стороны. Хотя из-за разности гипервизоров, некоторые вещи были другими. Например, на Proxmox сетевой интерфейс был ens18, а на HyperV — eth0. Во время восстановления это было учтено, сетевые настройки были перенесены. ReaR очень удобная программа. Раньше для переноса системы я рекомендовал либо Clonezilla, либо Veeam agent for Linux FREE. Но у них есть существенные минусы. Для первого нужно останавливать машину и делать полный клон системы. Если она большая, то это занимает много времени. Для Veeam надо перезагружать ОС после установки. Он там довольно сильно в систему врезается со своим драйвером или модулем ядра. Не помню уже точно, как он работает. С ReaR ничего этого делать не надо. Можно железный сервер забэкапить и перенести без остановки и установки каких-то дополнительных компонентов. Достаточно поставить сам пакет с rear, nfs клиент, если нужен для бэкапа, и пару пакетов для создания iso образа: genisoimage syslinux, которые часто уже есть в базовой системе. Перезагрузки системы не нужны. Берите на вооружение, расслабляйтесь (relax) и восстанавливайте (recover) системы. Данный инструмент используют OpenStack и Red Hat OpenStack Platform для встроенного бэкапа и восстановления систем. ⇨ Сайт / Исходники #backup

⚡️ Пройдите тест по DevOps и поступите на курс по специальной цене⚡️ Ответьте на 25 вопросов и узнайте, насколько вы готовы к обучению на курсе — «DevOps практики и инструменты». Курс доступен в рассрочку! 🔥 Этот курс для системных администраторов, разработчиков или тестировщиков, которые давно планируют освоить практики и инструменты DevOps'а и выйти на новый уровень. Время прохождения теста ограниченно 30 минут 👉🏻ПРОЙТИ ТЕСТ: https://otus.pw/l5w5/ 🎁 Сможете пройти успешно тест - получите доступ к 2 открытым урокам курса + демо-ролик о занятиях на курсе! 💥 Бонус! На курс действует скидка 20% по промокоду: DevOps03 Сроки действия: до 5 апреля включительно! #Реклама. Информация о рекламодателе на сайте www.otus.ru

​​Хочу немного подбить тему с веб панелями для хостинга сайтов. Во всех постах на эту тему идёт упоминание Fastpanel, как наиболее удобной и популярной. В целом, это так, но есть важные нюансы, которые в наше время стоит учитывать. Ещё пару месяцев назад на сайте Fastpanel было три языка - русский, украинский, английский. Сейчас только два и русского там нет. Разработчики панели из Эстонии. На сегодняшний день я бы поостерёгся от использования этой панели. Также весьма популярна панель BrainyCP. В целом она тоже неплоха. Разработчики у неё из Украины. Использовать её или нет с такими вводными в РФ, решать вам. У меня недавно состоялся небольшой диалог с человеком, который представился Oleksii Pikurov. Это автор чата MyChat, про который у меня есть статья на сайте. В комментариях к статье я предостерёг пользователей от использования этого чата на территории РФ, на что Oleksii Pikurov ответил, что это необоснованно и неправильно, ведь они ни в каких вредных действиях замечены не были. Это так, но я решил сходить на их сайт и почитать блог на украинском языке, который они сами ведут. А там всё как обычно — кацапстан, рашка и т.д. На русском языке всё чинно, благородно, ничего подобного нет. Я написал всё это не с целью устроить ругательства и разборки. Прошу этого не делать. Просто предупреждаю, что сейчас существуют риски использования того или иного ПО. Приходится с этим считаться, как бы ты к кому не относился. Это может не зависеть ни от тебя, ни от автора ПО. Его могут принудить или заставить сделать что-то, что он сам может и не хочет. Причём для крупных международных компаний такой риск очень небольшой, потому что репутацию терять никому не хочется и реально какого-то вредительства от них не было, кроме блокировок доступа. А вот для небольших продуктов с одним-двумя авторами оцениваю риск весьма высоко. С последствиями сталкивался как сам лично, так и некоторые мои заказчики. Какие-то случаи я тут описывал примерно год назад. А если возвращаться к веб панелям, если готовы платить, то однозначно лидер Ispmanager. В целом, нормальная панель. Стоит не дорого, можно поднять как хостинг, так и почту для него. Причём я случайно узнал, что они активно пилят функцию по переносу почты с Яндекса. Функционал есть в бете. Тут они подзатянули, конечно. Надо было несколько месяцев назад эту фичу выкатывать, как только Яндекс объявил о закрытии бесплатного тарифа. Из бесплатных я уже обозревал CloudPanel и aaPanel. Также есть очень неплохая HestiaCP (форк VestaCP), хочу на неё обзор сделать. Выглядит неплохо, на сайте есть демка. Отдельно добавлю, что если вы можете обойтись без веб панели, то не ставьте её. Я сам никогда их не использовал на своих проектах, но регулярно видел весь зоопарк панелей на серверах заказчиков. Я работал с почти всеми популярными и все они мне чаще всего не нравились, так как там нет гибкости управления, часто бывают проблемы с обновлением, а также с безопасностью. #webserver #hosting_panel

​​В релизе Proxmox 7.3 была анонсирована утилита Proxmox Offline Mirror, которая вышла чуть раньше, в сентябре. Нигде не видел акцента на этом инструменте. Сам узнал случайно от одного из подписчиков. Но при этом сами разработчики Proxmox уделили много внимания этому инструменту. Создали отдельный поддомен для него и написали подробную инструкцию по использованию: ⇨ Proxmox Offline Mirror released! ⇨ https://pom.proxmox.com По своей сути это репозиторий deb пакетов для продуктов компании: Proxmox VE, Proxmox Backup Server и Proxmox Mail Gateway. Также поддерживается стандартный репозиторий для Debian и в теории для любых deb пакетов. С помощью Proxmox Offline Mirror можно создать локальный репозиторий в сети без доступа к интернету. Пакет с proxmox-offline-mirror живёт в стандартном репозитории proxmox и ставится через пакетный менеджер: # apt install proxmox-offline-mirror Настройку можно выполнить как интерактивно, запустив: # proxmox-offline-mirror setup так и сразу указав все параметры в одной команде. Пример для репозитория Debian: # proxmox-offline-mirror config mirror add \  --id debian-bullseye-security \  --architectures amd64 \  --architectures all \  --repository 'deb http://deb.debian.org/debian-security bullseye-security main contrib non-free' \  --key-path /etc/apt/trusted.gpg.d/debian-archive-bullseye-security-automatic.gpg \  --sync true \  --verify true \  --base-dir /mnt/mirror/base-dir Можно создавать не только репозитории с доступом по HTTP, но и локальные репозитории, которые можно переносить, к примеру, на флешке или монтировать на целевые хосты по NFS, SMB. Всё это подробно описано в документации. Она небольшая, написана кратко и понятно. Я не до конца понял, почему Proxmox решил выпустить свой продукт по этой теме. Из каких-то удобств заметил только интерактивную настройку репозитория через консоль для подключения родных репозиториев. Всё остальное плюс-минус то же самое, что и у других подобных продуктов, типа aptly или apt-offline. #proxmox

❗️Как использовать инструмент автоматизации Vagrant? 🔥Приглашаем 11 апреля в 20:00 на бесплатный вебинар «Мини-лаборатория: Vagrant» в OTUS. 📚На вебинаре мы узнаем: - Как сделать тестовый стенд на своем локальном компьютере и какие компоненты для этого понадобится - В чем разница между контейнеризацией и виртуализации - Какие системы виртуализации и контейнеризации существуют - Как использовать инструмент автоматизации Vagrant, в чем его особенности и принципы работы 👉 Регистрация на вебинар: https://otus.pw/61Hj/ Вебинар будет полезен пользователям и администраторам среднего и продвинутого уровня. #Реклама. Информация о рекламодателе на сайте www.otus.ru

​​Продолжу тему переезда и переноса почтовых ящиков. А также их бэкапа из облачных сервисов. Ранее я рассматривал инструменты для переноса писем с одного imap ящика в другой. Сейчас расскажу про imap-backup, с помощью которого можно сохранить локально архив почты из любого imap ящика. Если вам не нужно переносить прямо все ящики, либо всю почту из ящиков, можно перенести только то, что, к примеру, не старше 3-х лет, а всё остальное скачать и положить в архив локально. Потом можно без проблем открыть архив и посмотреть там почту. Imap-backup умеет скачивать почту по imap и сохранять её локально в формате mbox. Это по сути один большой текстовый файл, где письма идут один за другим. Программа написана на ruby, так что проще всего её поставить через gem. На Debian это выглядит следующим образом: # apt install rubygems # gem install imap-backup Теперь можно запустить программу и выполнить первоначальную настройку через консоль: # imap-backup setup Либо сразу нарисовать конфиг в формате json и положить его в ~/.imap-backup/config.json. Вот рабочий пример для Яндекса, проверил лично: {  "version": "2.0",  "accounts": [   {    "username": "[email protected]",    "password": "topsecretpassword",    "local_path": "/root/.imap-backup/zabbix_serveradmin.ru",    "folders": [    ],    "server": "imap.yandex.ru"   }  ] } Для доступа по imap в ящике нужно создать пароль для приложения. В самих настройках ящика есть инструкция для этого. Программа выкачивает почту в отдельно созданный каталог для ящика. Каждая папка imap — отдельный файл mbox. Далее эту почту можно подключить к Thunderbird. Для этого надо установить расширение ImportExportTools NG из официального магазина. После установки в разделе Инструменты в самом конце будет раздел ImportExportTools, через который можно выполнить импорт папки mbox. Я всё проверил лично. Работает хорошо, проблем не возникло. Можно таким образом настроить регулярный бэкап почты из любого почтового ящика, или группы ящиков. Например, того же Gmail. С ним программа тоже работает. Imap-backup — хороший инструмент для массового бэкапа почтовых ящиков облачных сервисов. #mailserver

​​Расскажу вам немного про то, как работает протокол DHCP. Он на первый взгляд простой. Какой админ не знает, что такое DHCP? Но если его специально не изучал, то многие нюансы могут быть непонятны или неизвестны. Мне почему-то запомнился вопрос по DHCP, который я получил на одном из первых собеседований после института. Меня спросили, что такое DHCP и для чего он нужен. Я ответил, что с помощью него компьютеры получают IP адреса. Мой ответ не удовлетворил вопрошающего. В итоге он мне пояснил, что этот протокол нужен для выдачи сетевых настроек, а не только IP адресов. Туда меня на работу не взяли. 🔹Клиент, получающий настройки от сервера DHCP, должен быть с ним в одном широковещательном домене, так как запрос от клиента выполняется широковещательный. Исключение — использование DHCP-relay для пересылки запросов и ответов из одного домена в другой. 🔹По умолчанию сервер использует 67-й, а клиент 68-й порт UDP. 🔹Как я уже сказал, DHCP сервер может выдавать не только базовые настройки IP адреса, маски, шлюза по умолчанию и DNS сервера. С его помощью можно передать большое количество других параметров: маршруты, адрес TFTP сервера для загрузки по сети, MTU, часовой пояс, список NTP серверов и т.д. 🔹После выдачи аренды с сетевыми настройками на определённое время, клиент через половину этого времени начинает пытаться обновить аренду. Если получается — аренда продлевается, если нет, то использует её до окончания времени аренды, а потом снова начинает слать запросы к DHCP серверу. 🔹Сервер может привязывать IP адрес клиента не только по MAC адресу, но и по ClietnID (Machine-id). Причём последний часто имеет приоритет. 🔹Для получения сетевых настроек, клиент сначала отправляет запрос на поиск сервера DHCPDISCOVER, получает ответ от сервера DHCPOFFER с предлагаемыми настройками. После этого клиент отправляет запрос на установку предложенных настроек DHCPREQUEST и получает подтверждение от сервера DHCPACK. 🔹Наличие DHCP сервера не гарантирует отсутствие проблем с дублированием IP адресов. У него есть некоторые возможности по разрешению конфликтов, но на 100% возможностями только DHCP сервера их не разрешить. 🔹Защититься от конфликтов, возникающих из-за посторонних DHCP серверов в сети можно с помощью функционала коммутаторов DHCP Snooping. Коммутатор может отбрасывать трафик DHCP, определенный как неприемлемый. Например, идущий с недоверенного для этого порта. DHCP Snooping очень полезный функционал. Сам не раз сталкивался с ситуацией, когда кто-то приносит роутер с DHCP сервером и подключает его в общую сеть. В итоге часть клиентов перестают работать и начинаются звонки в поддержку. Если у вас нет никакой защиты, то решить проблему можно только обходя все точки подключения клиентов, либо отключая поочерёдно свитчи, пытаясь локализовать проблему. Если сеть большая, то это серьезная проблема, требующая много ручной работы. Лучше подумать об этом заранее. #network #dhcp