capsh и Linux capabilities
В Linux root-аккаунт обладает полным набором прав, но далеко не всегда это нужно. Capabilities позволяют «разрезать» привилегии на части и выдавать только нужные.
Например, чтобы процесс слушал порты ниже 1024, достаточно capability CAP_NET_BIND_SERVICE. Полный root здесь избыточен.
Проверка текущих прав:
Запуск процесса только с нужной capability:
⚡️ Так можно запускать сервисы безопаснее, следуя принципу «минимально необходимых прав». Это актуально и для контейнеров, и для демонов в продакшене.
В Linux root-аккаунт обладает полным набором прав, но далеко не всегда это нужно. Capabilities позволяют «разрезать» привилегии на части и выдавать только нужные.
Это снижает риски: сервис не сможет сделать ничего лишнего, даже если его взломают.
Например, чтобы процесс слушал порты ниже 1024, достаточно capability CAP_NET_BIND_SERVICE. Полный root здесь избыточен.
Проверка текущих прав:
capsh --print
Запуск процесса только с нужной capability:
capsh --drop=all --add=cap_net_bind_service -- -c "./server"
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍9
This media is not supported in your browser
VIEW IN TELEGRAM
Внутри 20+ модулей: от установки Linux и работы с файлами до сетей, прав, дисков, процессов, автоматизации на Bash и многого другого. Всё сразу закрепляется на практике (200+ заданий с автопроверкой).
Материал подаётся понятным языком, шаг за шагом, на реальных примерах и с наглядными схемами.
После прохождения вы получите сертификат, который можно добавить в резюме.
Есть бесплатные демо-уроки для ознакомления. В ближайшие 48ч курс доступен со скидкой 20% по промокоду «
ADMGUIDES»: открыть курс на StepikPlease open Telegram to view this post
VIEW IN TELEGRAM
❤6👍5🔥1
Multikernel: несколько ядер Linux на одном хосте
Проект Multikernel позволяет запускать на одной машине сразу несколько независимых экземпляров ядра Linux — без гипервизора и накладных расходов виртуализации.
Каждый экземпляр ядра получает прямой доступ к CPU и ресурсам, изоляция выше, чем у контейнеров, а производительность близка к «железу».
⏺ Запуск через улучшенный kexec, управление и отладка — через /proc/multikernel.
⏺ Для обмена сообщениями используется собственный IPI-фреймворк.
⏺ Поддерживается динамическое выделение ресурсов и изоляция отказов.
Проект Multikernel позволяет запускать на одной машине сразу несколько независимых экземпляров ядра Linux — без гипервизора и накладных расходов виртуализации.
Каждый экземпляр ядра получает прямой доступ к CPU и ресурсам, изоляция выше, чем у контейнеров, а производительность близка к «железу».
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2🔥1
Один канал для решения трёх задач: сделать систему эффективной, стабильной и безопасной.
Без воды, только практика:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2❤1
Профилирование CPU с perf и Flamegraph
Они показывают только процессы, но не дают понимания, что именно внутри процесса грузит CPU.
Здесь на помощь приходит perf и Flamegraph.
perf — запись стека вызовов
Для начала нужно установить perf (apt install linux-tools-common linux-tools-$(uname -r) на Debian/Ubuntu).
Простейший пример:
⏺ -F 99 — частота выборки 99 Гц
⏺ -a — профилируем все CPU
⏺ -g — сохраняем стеки вызовов
⏺ -- sleep 10 — профилируем 10 секунд
После этого создаётся файл perf.data, содержащий информацию о нагрузке CPU.
perf script + Flamegraph — визуализация горячих функций
Flamegraph позволяет видеть «горячие» участки кода:
⏺ stackcollapse-perf.pl — склеивает одинаковые стеки
⏺ flamegraph.pl — генерирует интерактивный SVG
Открыв out.svg в браузере, можно увидеть, какие функции съедают процессорное время. Чем выше «полоса», тем дольше выполняется функция.
Когда сервер «тормозит» или высокая загрузка CPU не очевидна, стандартных инструментов вроде top часто недостаточно.
Они показывают только процессы, но не дают понимания, что именно внутри процесса грузит CPU.
Здесь на помощь приходит perf и Flamegraph.
perf — запись стека вызовов
Для начала нужно установить perf (apt install linux-tools-common linux-tools-$(uname -r) на Debian/Ubuntu).
Простейший пример:
sudo perf record -F 99 -a -g -- sleep 10
После этого создаётся файл perf.data, содержащий информацию о нагрузке CPU.
perf script + Flamegraph — визуализация горячих функций
Flamegraph позволяет видеть «горячие» участки кода:
perf script | stackcollapse-perf.pl | flamegraph.pl > out.svg
Открыв out.svg в браузере, можно увидеть, какие функции съедают процессорное время. Чем выше «полоса», тем дольше выполняется функция.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍4
Для обнаружения медленных процессов и аномальной активности на нескольких Linux-серверах лучше использовать:
Anonymous Quiz
20%
top на каждом сервере
71%
Централизованное логирование через rsyslog + SIEM
3%
cron
6%
systemctl
❤4👍1
Как избежать ошибок, снизить затраты и повысить надёжность?
30 сентября• 11:00 МСК • онлайн • БЕСПЛАТНО
Все процессы — от продаж до отчетности — зависят сегодня от стабильной работы 1С.
Миграция, обновление или поддержка этой системы часто превращается в настоящий вызов для бизнеса.
Как минимизировать риски и выстроить инфраструктуру без лишних затрат?
На вебинаре обсудим:
✅Как выбрать правильную инфраструктуру для 1С и не переплачивать;
✅Типичные ошибки при миграции и поддержке и как их избежать;
✅Почему “единое окно” = надежность и скорость бизнеса.
📦Бонусы для участников вебинара:
✅Подготовка индивидуального плана миграции в облачную инфраструктуру;
✅Расчет стоимости проекта миграции.
👉Регистрация бесплатна — жмите на ссылку👇
ПОДРОБНЕЕ
#реклама
О рекламодателе
30 сентября• 11:00 МСК • онлайн • БЕСПЛАТНО
Все процессы — от продаж до отчетности — зависят сегодня от стабильной работы 1С.
Миграция, обновление или поддержка этой системы часто превращается в настоящий вызов для бизнеса.
Как минимизировать риски и выстроить инфраструктуру без лишних затрат?
На вебинаре обсудим:
✅Как выбрать правильную инфраструктуру для 1С и не переплачивать;
✅Типичные ошибки при миграции и поддержке и как их избежать;
✅Почему “единое окно” = надежность и скорость бизнеса.
📦Бонусы для участников вебинара:
✅Подготовка индивидуального плана миграции в облачную инфраструктуру;
✅Расчет стоимости проекта миграции.
👉Регистрация бесплатна — жмите на ссылку👇
ПОДРОБНЕЕ
#реклама
О рекламодателе
❤3
Dstat и его наследники: удобный мониторинг в реальном времени
Стандартный набор (iostat, vmstat, ifstat) даёт нужные данные, но разрозненно — приходится открывать несколько окон и сводить всё в голове.
⏺ dstat решает эту проблему: он объединяет метрики CPU, IO, памяти, сети и процессов в одной таблице. Сразу видно картину происходящего. Например:
CPU, диски, сеть и память — всё в одной строке, обновляется раз в секунду.
Из новых инструментов можно отметить atop (с ретроспективным просмотром) и лёгкие аналоги — duf, dstat-variants, которые удобнее для быстрых проверок.
Когда сервер «тормозит», хочется сразу понять: проблема в диске, CPU или сети?
Стандартный набор (iostat, vmstat, ifstat) даёт нужные данные, но разрозненно — приходится открывать несколько окон и сводить всё в голове.
dstat -cdnm
CPU, диски, сеть и память — всё в одной строке, обновляется раз в секунду.
Из новых инструментов можно отметить atop (с ретроспективным просмотром) и лёгкие аналоги — duf, dstat-variants, которые удобнее для быстрых проверок.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4
Яндекс в 2026 году запустит во Владимирской области ЦОД мощностью 40+ МВт, рядом с уже действующим дата-центром. На его базе Yandex Cloud откроет зону доступности для своих клиентов. Об этом на конференции Yandex Neuro Scale рассказал CTO Yandex Cloud Иван Пузыревский.
Что это значит для админов:
⏺️ Задержка между зонами <1 мс, канал до 25,6 Тб/с — базы данных и внутренние сервисы получают почти мгновенный обмен данными.
⏺️ Каналы связи между зонами полностью независимы друг от друга — высокая отказоустойчивость.
⏺️ Энергоэффективность PUE = 1,1, на 27% ниже среднего по миру — меньше расход энергии при высокой нагрузке.
Сервисы будут работать максимально стабильно и предсказуемо, админы могут спать спокойно.
Что это значит для админов:
⏺️ Задержка между зонами <1 мс, канал до 25,6 Тб/с — базы данных и внутренние сервисы получают почти мгновенный обмен данными.
⏺️ Каналы связи между зонами полностью независимы друг от друга — высокая отказоустойчивость.
⏺️ Энергоэффективность PUE = 1,1, на 27% ниже среднего по миру — меньше расход энергии при высокой нагрузке.
Сервисы будут работать максимально стабильно и предсказуемо, админы могут спать спокойно.
Telegram
Техночат
Нейросети постепенно прорастают во все процессы бизнеса – от построения инфраструктуры до обеспечения безопасности клиентских сервисов и приложений. Представители Yandex Cloud на конференции Yandex Scale рассказали, как используют нейросети в своих сервисах…
❤2👍2
lshw – список железных компонентов сервера
Команда lshw помогает получить детальную информацию о “железе” сервера: процессоре, памяти, накопителях, сетевых интерфейсах, USB и аудио-устройствах.
Установка lshw
Если команда не исполняется, установите пакет:
CentOS
Debian/Ubuntu
Вывод информации о компонентах
Чтобы получить короткий список оборудования, используйте:
Пример вывода:
Другие полезные команды
Вывод в развернутом виде:
Сохранение в файл:
Информация только о CPU:
Команда lshw помогает получить детальную информацию о “железе” сервера: процессоре, памяти, накопителях, сетевых интерфейсах, USB и аудио-устройствах.
Установка lshw
Если команда не исполняется, установите пакет:
CentOS
sudo yum install lshw
Debian/Ubuntu
sudo apt install lshw
Вывод информации о компонентах
Чтобы получить короткий список оборудования, используйте:
lshw -short
Пример вывода:
H/W path Device Class Description
=====================================================
system Virtual Machine
/0 bus Virtual Machine
/0/5 processor Intel(R) Core(TM) i3-6100T CPU @ 3.20GHz
/0/51 memory 4GiB System Memory
/0/1 scsi2 storage
/0/1/0.0.0 /dev/sda disk 160GB SCSI Disk
/0/1/0.0.0/1 /dev/sda1 volume 500MiB EXT4 volume
/1 eth0 network Ethernet interface
Другие полезные команды
Вывод в развернутом виде:
lshw
Сохранение в файл:
lshw > hardware_info.txt
Информация только о CPU:
lshw -C CPU
👍12❤4
Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.Балансировка нагрузки между runqueue разных CPU — критически важная задача. Если один CPU перегружен, а другой простаивает, планировщик может переместить процессы между runqueue. Неправильная балансировка может привести к “CPU starvation” или падению производительности в многопроцессорных системах.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍4❤2
❔ Kubernetes под прицелом атак — готовы ли вы защитить свой кластер?
Kubernetes стал стандартом для управления контейнерными приложениями, но вместе с этим вырос и интерес атакующих. Ошибки конфигурации, слабая аутентификация, уязвимости в сервисах — всё это может обернуться серьёзными инцидентами.
На открытом уроке разберём:
- модель безопасности Kubernetes;
- основные векторы атак;- механизмы защиты и аудит;
- как построить стратегию безопасности.
⌨️Урок будет полезен DevOps-инженерам, системным администраторам, архитекторам и специалистам по безопасности, которые хотят систематизировать знания и применить их в реальных проектах.
Открытый урок пройдёт 7 октября в 20:00 МСК в преддверие старта курса «Безопасность в Kubernetes»
➡️ Записывайтесь прямо сейчас: https://otus.pw/3ovA/?erid=2W5zFHF93ex
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
Kubernetes стал стандартом для управления контейнерными приложениями, но вместе с этим вырос и интерес атакующих. Ошибки конфигурации, слабая аутентификация, уязвимости в сервисах — всё это может обернуться серьёзными инцидентами.
На открытом уроке разберём:
- модель безопасности Kubernetes;
- основные векторы атак;- механизмы защиты и аудит;
- как построить стратегию безопасности.
⌨️Урок будет полезен DevOps-инженерам, системным администраторам, архитекторам и специалистам по безопасности, которые хотят систематизировать знания и применить их в реальных проектах.
Открытый урок пройдёт 7 октября в 20:00 МСК в преддверие старта курса «Безопасность в Kubernetes»
➡️ Записывайтесь прямо сейчас: https://otus.pw/3ovA/?erid=2W5zFHF93ex
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
❤1
pigz вместо gzip
pigz (parallel implementation of gzip) решает эту проблему — он использует все доступные CPU и значительно ускоряет компрессию.
Пример:
Архив будет создан в формате .gz, совместимом с gzip. Разница только в скорости: на сервере с 8 ядрами сжатие может ускориться в 5–7 раз.
Для распаковки можно использовать как pigz -d, так и обычный gzip -d.
Обычный gzip работает в один поток, поэтому на современных серверах с несколькими ядрами он сжимает большие файлы медленно.
pigz (parallel implementation of gzip) решает эту проблему — он использует все доступные CPU и значительно ускоряет компрессию.
Пример:
pigz backup.sql
Архив будет создан в формате .gz, совместимом с gzip. Разница только в скорости: на сервере с 8 ядрами сжатие может ускориться в 5–7 раз.
Для распаковки можно использовать как pigz -d, так и обычный gzip -d.
👍16❤5
Энтузиасты объединили двенадцать 56K модемов и установили рекорд скорости коммутируемого доступа
Команда The Serial Port объединила двенадцать 56K модемов (Courier V.Everything 56K) через Multilink PPP, чтобы достичь скорости загрузки 668 Кбит/с на ПК с Windows XP и парой PCI-карт с последовательными портами.
Ранее коммерческие решения использовали 2–4 модема, но массового применения не получили из-за сложности подключения и ограничений провайдеров.
⏺ Энтузиасты проверили работу MPPP на современном интернет-провайдере и смогли масштабировать систему до двенадцати модемов, обеспечив стабильную загрузку видео с минимальной задержкой.
Команда The Serial Port объединила двенадцать 56K модемов (Courier V.Everything 56K) через Multilink PPP, чтобы достичь скорости загрузки 668 Кбит/с на ПК с Windows XP и парой PCI-карт с последовательными портами.
Это позволило проверить возможности старого оборудования для стриминга видео и демонстрирует потенциал MPPP для объединения нескольких модемов в один логический канал.
Ранее коммерческие решения использовали 2–4 модема, но массового применения не получили из-за сложности подключения и ограничений провайдеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁18❤3
🎥 Вебинар по Linux: "Linux Monitoring: как отслеживать и анализировать производительность"
☝️ На вебинаре вы узнаете:
- Основные категории мониторинга: ресурсы, процессы, сеть, логи
- Инструменты для мониторинга в Linux: top, htop, iostat, vmstat, sar, netstat, dstat
- Как собирать и анализировать метрики с помощью системных и сторонних инструментов
💪 В результате вебинара вы:
- Научитесь собирать и анализировать ключевые метрики системы
- Сможете выявлять узкие места и потенциальные проблемы заранее
- Попробуете комбинировать разные инструменты для комплексного мониторинга
⏰ Все участники вебинара получат специальные условия на полное обучение курса "Administrator Linux. Professional"
👉 Для участия зарегистрируйтесь: https://otus.pw/DDxk/?erid=2W5zFHSzcRn
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
☝️ На вебинаре вы узнаете:
- Основные категории мониторинга: ресурсы, процессы, сеть, логи
- Инструменты для мониторинга в Linux: top, htop, iostat, vmstat, sar, netstat, dstat
- Как собирать и анализировать метрики с помощью системных и сторонних инструментов
💪 В результате вебинара вы:
- Научитесь собирать и анализировать ключевые метрики системы
- Сможете выявлять узкие места и потенциальные проблемы заранее
- Попробуете комбинировать разные инструменты для комплексного мониторинга
⏰ Все участники вебинара получат специальные условия на полное обучение курса "Administrator Linux. Professional"
👉 Для участия зарегистрируйтесь: https://otus.pw/DDxk/?erid=2W5zFHSzcRn
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
❤2
SysRq Magic Key в Linux: экстренное управление системой
Иногда сервер или ноутбук может зависнуть так, что даже kill -9 не помогает.
В Linux для таких случаев есть «волшебная кнопка» — SysRq (System Request).
С её помощью можно отправлять ядру команды напрямую, минуя оболочку и процессы.
Включение SysRq
Обычно функция включена, но можно проверить:
⏺ 0 — выключено
⏺ 1 — включены все команды
⏺ или битовая маска (например, 16 = только sync).
Чтобы включить:
Постоянно (через sysctl):
Как пользоваться
Нужно зажать Alt + SysRq (Print Screen) и нажать нужную клавишу:
• r — вернуть управление клавиатуре (Raw → XLATE)
• e — завершить все процессы (SIGTERM)
• i — убить все процессы (SIGKILL)
• s — сбросить данные на диск (sync)
• u — перемонтировать файловые системы в read-only
• b — немедленная перезагрузка
«Безопасная последовательность» (REISUB)
Если система зависла:
Это поможет корректно завершить процессы, сохранить данные и только потом перезагрузиться.
Иногда сервер или ноутбук может зависнуть так, что даже kill -9 не помогает.
В Linux для таких случаев есть «волшебная кнопка» — SysRq (System Request).
С её помощью можно отправлять ядру команды напрямую, минуя оболочку и процессы.
Включение SysRq
Обычно функция включена, но можно проверить:
cat /proc/sys/kernel/sysrq
Чтобы включить:
echo 1 > /proc/sys/kernel/sysrq
Постоянно (через sysctl):
echo "kernel.sysrq = 1" >> /etc/sysctl.conf
sysctl -p
Как пользоваться
Нужно зажать Alt + SysRq (Print Screen) и нажать нужную клавишу:
• r — вернуть управление клавиатуре (Raw → XLATE)
• e — завершить все процессы (SIGTERM)
• i — убить все процессы (SIGKILL)
• s — сбросить данные на диск (sync)
• u — перемонтировать файловые системы в read-only
• b — немедленная перезагрузка
«Безопасная последовательность» (REISUB)
Если система зависла:
Alt + SysRq + r
Alt + SysRq + e
Alt + SysRq + i
Alt + SysRq + s
Alt + SysRq + u
Alt + SysRq + b
Это поможет корректно завершить процессы, сохранить данные и только потом перезагрузиться.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍5
🔥Не упустите шанс прокачать свой скилл и решать проблемы с производительностью на опережение!
Думаете, что знаете об оптимизации PostgreSQL всё? Проверим.
Приглашаем разработчиков и администраторов БД на интенсивный практикум, где мы не будем говорить об очевидных вещах.
1 октября в 20:00 технический директор 1С-Старт Дмитрий Кириллов разберет "по косточкам" оптимизацию PostgreSQL на открытом практическом уроке "Неочевидные оптимизации PostgreSQL на основе его исходного кода".
👨💻 Разработчики, научитесь писать запросы, учитывая скрытые механизмы планировщика, и использовать индексы максимально эффективно
👨💻Администраторы БД, поймете, какие параметры конфигурации реально влияют на производительность, а какие можно не трогать
👨💻Архитекторы систем, сможете лучше проектировать структуру БД и прогнозировать ее масштабирование на основе «внутренней логики» PostgreSQL
А в подарок - три мини-курса для практической работы с SQL от OTUS.
Бесплатно по предварительной записи - практикум для тех, кто хочет докопаться до сути: https://tglink.io/8a86652609b2
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFG6WJnt
Думаете, что знаете об оптимизации PostgreSQL всё? Проверим.
Приглашаем разработчиков и администраторов БД на интенсивный практикум, где мы не будем говорить об очевидных вещах.
1 октября в 20:00 технический директор 1С-Старт Дмитрий Кириллов разберет "по косточкам" оптимизацию PostgreSQL на открытом практическом уроке "Неочевидные оптимизации PostgreSQL на основе его исходного кода".
👨💻 Разработчики, научитесь писать запросы, учитывая скрытые механизмы планировщика, и использовать индексы максимально эффективно
👨💻Администраторы БД, поймете, какие параметры конфигурации реально влияют на производительность, а какие можно не трогать
👨💻Архитекторы систем, сможете лучше проектировать структуру БД и прогнозировать ее масштабирование на основе «внутренней логики» PostgreSQL
А в подарок - три мини-курса для практической работы с SQL от OTUS.
Бесплатно по предварительной записи - практикум для тех, кто хочет докопаться до сути: https://tglink.io/8a86652609b2
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFG6WJnt
❤1
Какой инструмент позволяет детально отследить утечки памяти в работающем процессе, включая используемые библиотеки?
Anonymous Quiz
10%
top
32%
valgrind
34%
htop
23%
ps aux
👎6👍4