Протокол Syslog: Серверы, сообщения и безопасность

Syslog — это стандартный протокол для передачи сообщений о событиях с сетевых устройств на центральный сервер журнала.

Он позволяет собирать логи с маршрутизаторов, коммутаторов, брандмауэров, серверов *nix и даже веб-серверов, таких как Apache. 

Хотя Windows-системы изначально не поддерживают Syslog, сторонние инструменты позволяют отправлять логи событий Windows на Syslog-сервер.

Основные компоненты Syslog-сервера

1️⃣Syslog-слушатель — принимает сообщения через порт UDP 514. Поскольку UDP не гарантирует доставку, некоторые устройства используют TCP-порт 1468 для надежной передачи.
2️⃣ База данных — хранит логи для быстрого поиска и анализа. Это особенно важно для крупных сетей с большим потоком данных.
3️⃣ Программное обеспечение управления и фильтрации — помогает сортировать логи, создавать уведомления и отправлять алерты для быстрой реакции на инциденты.

Формат сообщений Syslog

Сообщение содержит:
• IP-адрес источника
• Метку времени
• Текстовое сообщение

Уровни серьезности:

1. Emergency (0) — Система неработоспособна
2. Alert (1) — Требуется немедленное вмешательство
3. Critical (2) — Критическая ошибка
4. Error (3) — Ошибка
5. Warning (4) — Предупреждение
6. Notice (5) — Важное событие
7. Informational (6) — Информационное сообщение
8. Debug (7) — Отладочная информация

Недостатки Syslog
• Нестандартный формат сообщений, что затрудняет автоматический анализ.
• Передача по UDP, что может привести к потере пакетов при перегрузке сети.
• Отсутствие аутентификации, что позволяет злоумышленникам отправлять поддельные логи.

Пример настройки на Linux

Установка Syslog-сервера (например, Rsyslog):

sudo apt update  
sudo apt install rsyslog  

Открываем конфигурационный файл:

sudo nano /etc/rsyslog.conf  

Включаем прием сообщений по сети:

$ModLoad imudp  
$UDPServerRun 514  

Перезапускаем службу:

sudo systemctl restart rsyslog

Еще 3 команды для проверки железа на сервере Linux

Расскажу еще о 3 подобных командах

1️⃣dmidecode

Данная команда отличается от остальных тем, что парсит информацию о железе из SMBIOS/DMI (очень детальный вывод).

#посмотреть информацию о cpu
sudo dmidecode -t processor
#ram информация
sudo dmidecode -t memory
#информация о bios
sudo dmidecode -t bios



2️⃣ mount

Утилита mount предназначена для управления и просмотра смонтированных файлов систем и соответствующих точек:

[root@hq ~]# mount | column -t

/dev/mapper/VolGroup-lv_root  on  /                          type  ext4         (rw)
proc                          on  /proc                      type  proc         (rw)
sysfs                         on  /sys                       type  sysfs        (rw)
devpts                        on  /dev/pts                   type  devpts       (rw,gid=5,mode=620)
tmpfs                         on  /dev/shm                   type  tmpfs        (rw)
/dev/sda1                     on  /boot                      type  ext4         (rw)
/dev/mapper/VolGroup-lv_home  on  /home                      type  ext4         (rw)
/var/spool/asterisk/monitor   on  /var/www/html/ast_mon_dir  type  none         (rw,bind)
none                          on  /proc/sys/fs/binfmt_misc   type  binfmt_misc  (rw)



3️⃣ lsusb – список USB – шин и подробная информация об устройствах

Команда расскажет про USB – контроллеры и устройства, подключенные к ним. По умолчанию, команда отобразит краткую информацию. В случае, если необходима глубокая детализация, воспользуйтесь опцией -v:

[root@hq ~]# lsusb

Bus 003 Device 001: ID 9c6a:00c1 Linux Foundation 1.1 root hub
Bus 004 Device 002: ID 092e:00de Microsoft Corp. Basic Optical Mouse v2.0

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как работает механизм Netfilter в Linux и зачем он нужен?

✅Ответ: Netfilter — это подсистема ядра Linux, обеспечивающая фильтрацию и обработку сетевых пакетов. Она используется для межсетевого экранирования, NAT, балансировки нагрузки и глубокого анализа трафика.

Основные компоненты:
— Hooks: точки в сетевом стеке, через которые проходят пакеты (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
— iptables/nftables: инструменты управления правилами фильтрации и перенаправления трафика.
— Connection Tracking: механизм, позволяющий отслеживать состояние соединений и применять stateful-фильтрацию.

FTP vs SFTP vs FTPS: В чем разница?

FTP, SFTP и FTPS — это три протокола для передачи файлов, которые часто используются для обмена данными между сервером и клиентом.

Хотя все они выполняют одну и ту же задачу, они существенно различаются по способу обеспечения безопасности и механизмам работы.

Проще говоря:
• FTP — это классический, но небезопасный способ передачи файлов.
• SFTP — это защищённый метод, использующий шифрование.

Что такое FTP?

FTP (File Transfer Protocol) — это старый протокол, работающий по схеме клиент-сервер. Он используется для передачи файлов между устройствами в сети.

Основные особенности:
⏺Работает по 21 порту.
⏺Передача данных происходит в открытом виде (без шифрования).
⏺Поддерживает аутентификацию по логину и паролю.
⏺Требует отдельного FTP-сервера для работы.

Из-за отсутствия шифрования FTP не рекомендуется использовать в небезопасных сетях.

Что такое SFTP?

SFTP (Secure File Transfer Protocol) — это безопасный вариант передачи файлов, основанный на SSH (Secure Shell).

Основные особенности:
⏺Работает через 22 порт (тот же, что у SSH).
⏺Все данные передаются в зашифрованном виде.
⏺Позволяет использовать ключевую аутентификацию вместо паролей.
⏺Может работать без отдельного сервера, если включен SSH.

FTPS (FTP Secure)

FTPS — это FTP, который добавляет поддержку SSL/TLS для шифрования. В отличие от SFTP, который работает через SSH, FTPS использует стандартные порты FTP (21) и добавляет возможность защищенной передачи данных с помощью SSL/TLS. FTPS бывает двух типов: Explicit и Implicit.

В Explicit FTPS клиент должен сначала отправить команду, чтобы установить защищенное соединение, а в Implicit FTPS соединение по умолчанию всегда защищено.

Особенности:
• Работает по порту 990 (Implicit) или 21 (Explicit).
• Использует SSL/TLS для шифрования.
• Можно использовать с существующим FTP-сервером с минимальными изменениями.

Сравнение:
• FTP: не защищен.
• SFTP: использует SSH для безопасности и шифрования.
• FTPS: использует SSL/TLS для защиты и может работать с традиционным FTP-сервером.

RAID 5 vs RAID 10: что лучше для сервера?

Когда дело доходит до хранения данных на сервере, администратору важно выбрать надежную и производительную систему. Одни из самых популярных уровней RAID — RAID 5 и RAID 10. Они оба обеспечивают отказоустойчивость, но работают по-разному. Давайте разберемся, чем они отличаются и какой лучше выбрать.

RAID 5: больше места, но медленнее запись

Этот массив использует чередование (striping) с четностью (parity). Данные разбиваются на блоки и распределяются по всем дискам, а один блок в каждом цикле отводится под контрольную сумму.

Как это работает:
⏺Если один диск выходит из строя, его данные можно восстановить с помощью контрольных сумм.
⏺Однако запись медленнее, так как требуется пересчет этих сумм.

Плюсы:
✅Экономичность — теряется только емкость одного диска.
✅Хорошая скорость чтения.
✅Выдерживает отказ одного диска.

Минусы:
❌Медленная запись из-за пересчета четности.
❌Долгое восстановление при сбое.
❌Если сломается второй диск до завершения восстановления, данные потеряются.

Вывод: RAID 5 подходит, если вам важно сохранить больше полезного пространства, но запись не критична по скорости.

RAID 10: высокая скорость и надежность

Этот массив сочетает зеркалирование (mirroring) и чередование (striping). Каждый диск дублируется (как в RAID 1), а затем данные распределяются по зеркальным парам (как в RAID 0).

Как это работает:
⏺Данные всегда хранятся в двух копиях, что повышает надежность.
⏺Чтение и запись быстрее, чем в RAID 5, так как нет необходимости пересчитывать контрольные суммы.

Плюсы:
✅Высокая скорость чтения и записи.
✅Более быстрая реконструкция массива при сбое.
✅Выдерживает отказ до половины дисков, если они выходят из строя не в одной зеркальной паре.

Минусы:
❌Требуется в 2 раза больше дисков, чем в RAID 5.
❌Дороже в плане объема полезного пространства.

Вывод: RAID 10 — отличный вариант для критически важных систем, где важны высокая скорость и надежность.

Что выбрать?

RAID 5 — если вам нужно больше дискового пространства и запись не критична по скорости.
RAID 10 — если важны высокая производительность и быстрый откат при сбоях.

Живешь в мире масштабирования и аптайма? 🖱
GoCloud — конференция для IT-экспертов про облака и AI.

На GoCloud тебя ждут 30+ докладов, где расскажут и покажут:
➡как работают облачные сетевые сервисы
➡как подключать блочные хранилища к железным серверам
➡как запустить приложения в два клика, при этом сэкономив ресурсы
➡как реализована архитектура DBaaS поверх K8s

А еще будут ломать приложение в реальном времени и рассказывать про инструменты для защиты от уязвимостей.

Нетворкинг, презентации новых продуктов, live-демо и afterparty ждут тебя 10 апреля.
Регистрация по ссылке 👈

Cloudflare закрыла HTTP-доступ к API – теперь только HTTPS

Компания Cloudflare окончательно отключила возможность использования HTTP для API api.cloudflare.com. Теперь все запросы должны выполняться только по HTTPS.

Почему это важно?

Раньше HTTP-запросы либо автоматически перенаправлялись на HTTPS, либо блокировались с кодом 403 Forbidden. 

Однако даже такие отклонённые запросы могли содержать чувствительные данные, например API-токены, которые перехватывались в незашифрованном виде.

С 20 марта 2025 года HTTP-запросы не просто блокируются — Cloudflare полностью закрыла возможность установления соединения.

Кого это затронет?

⏺Разработчиков, использующих HTTP-запросы в своих скриптах и ботах.
⏺Устаревшие системы, которые не поддерживают HTTPS.
⏺IoT-устройства и низкоуровневые клиенты, работающие с HTTP.

Если ваш код или сервис всё ещё использует HTTP для API-запросов, он перестанет работать.

Что дальше?

Cloudflare также анонсировала новую функцию — отключение HTTP для пользовательских сайтов. Она станет доступна в четвёртом квартале 2025 года.

Инструменты для администрирования Asterisk

При работе с Asterisk важно иметь удобные инструменты для управления сервером, редактирования файлов и передачи данных. 

Рассмотрим три основных утилиты, которые значительно упрощают администрирование и обслуживание Asterisk PBX.

1️⃣ PuTTY – подключение к серверу

PuTTY – это популярный терминальный клиент для работы с SSH/Telnet. Он позволяет подключаться к Asterisk и выполнять все необходимые команды в командной строке.

Преимущества:
• Бесплатное и простое в использовании ПО.
• Позволяет сохранять сессии для быстрого подключения.
• Гибкие настройки интерфейса и горячих клавиш.

Как подключиться:
⏺Указываем протокол (SSH), IP-адрес сервера и порт (обычно 22).
⏺Нажимаем Open – открывается терминал с запросом логина и пароля.
⏺Для удобства можно сохранить профиль в разделе Saved Sessions.

🔗 Скачать PuTTY: putty.org

2️⃣ WinSCP – удобная работа с файлами

WinSCP – это SFTP-клиент, который позволяет легко загружать и скачивать файлы с сервера через графический интерфейс.

Преимущества:
• Интуитивно понятный файловый менеджер.
• Поддержка SFTP, SCP и FTP.
• Возможность сохранения профилей для быстрого доступа.

Как использовать:
⏺Выбираем SFTP или SCP, вводим IP-адрес, логин и пароль.
⏺Подключаемся и получаем доступ к файловой системе сервера.
⏺Перетаскиваем файлы между локальным ПК и сервером.

Скачать WinSCP: winscp.net

3️⃣ Midnight Commander – файловый менеджер в терминале

Если графический интерфейс отсутствует (например, на сервере без GUI), удобнее всего работать с файлами через Midnight Commander (mc).

Преимущества:
• Классический двухпанельный интерфейс.
• Поддержка копирования, удаления, редактирования файлов.
• Простое управление с помощью функциональных клавиш (F1-F10).

Как установить и запустить mc:

yum install mc -y
mc