​​Публикация баз данных 1С:Предприятие на веб-сервере Apache в Windows c защитой SSL и аутентификацией по паролю

Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок.

Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой.

В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.

https://interface31.ru/tech_it/2023/05/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-apache-v-windows-c-zashhitoy-ssl-i-autentifikac.html

​​Из разряда наблюдений и размышлений

Дни трезвости на день последнего звонка, 1 июня и т.д. и т.п. стали уже нормой жизни. Но наша область впереди планеты всей и тут уже второй год трезвеют три дня: день до, день последнего звонка и день после.

Сие мероприятие давно представлялось мне сомнительным. Ну давайте сами подумаем. Лицам до 18 лет алкашку не продают, лица старше 18 имеют полное законное право ее покупать и выпивать.

В этом году получилось так, что вместо 25 мая последний звонок перенесли на 23 мая.

А в это день у автора сиих строк запланировано плановое мероприятие. когда собравшиеся должны скушать что-нибудь вкусное, да выпить за здравие автора.

Ну вот сегодня и озадачился материальным обеспечением этого мероприятия, а в переводе на простонародный - покупкой алкашки.

В былые времена проблемы не было, собрались, посмотрели на погоду, высказали собственные предпочтения, закупились и выехали на природу.

А теперь приходится закупаться с запасом, мало ли там чего. Ну а закупленное не выливать же? Значит будет выпито!

И кому сделали лучше с этими днями трезвости?

Кстати, вместе со мной в местных алкомаркетах массовые закупки делали эти самые выпускники, причем вместе с родителями. И звучали те же самые вопросы: сколько брать? Бери с запасом!

Ну и толку от этих дней трезвости? Кому надо - те купят. Ну и зачем тогда это все?

Вы работаете в IT-сфере и ищете эффективный способ решать свои ежедневные задачи? ChatGPT (GPT-4) - уникальный Телеграм-бот, который предоставляет 70+ специальных режимов для решения разных проблем

Попробуйте бота бесплатно прямо сейчас:
🤖 ChatGPT Bot

Он улетел, но обещал вернуться! И вернулся, по тихому.

Не так давно, всего лишь с выходом платформы 8.3.20 был анонсирован единый дистрибутив 1С для Linux. Решение крайне неоднозначное, вызвавшее много споров в сообществе.

И вот, вместе с платформой 8.3.23 пакеты вернулись. Вполне официально. Но только в документации теперь просто даны их взаимозависимости и предложено обратиться к документации на пакетный менеджер.

Единая платформа также осталась и подается как приоритетный способ распространения платформы.

На наш взгляд, для клиентских установок в небольших внедрениях единый дистрибутив удобнее. Для серверов и крупных внедрений удобнее пакеты.

А вообще крайне неплохо было бы перейти для клиентских установок на Snap или Flatpak. Все равно уже практически все значимые библиотеки платформа носит с собой, а не использует из дистрибутива.

До чего техника дошла, хотел вставить из буфера в Фотошоп не самого лучшего качества картинку 5 евро.

​​Защита RDP от перебора паролей при помощи оборудования Mikrotik

Атака с полным перебором паролей (брутфорс) - одна из наиболее часто встречающихся угроз в современном интернете. Она базируется не на уязвимостях ПО, а на нарушении политики паролей, что иногда оказывается гораздо более продуктивным.

Пользователи не любят сложных паролей и даже когда есть явные требования по сложности стремятся использовать более простые комбинации, либо словарные слова.

Многие также используют одну пару логин - пароль для всех учетных записей и при компрометации одной из них эти данные могут попасть в руки злоумышленников. Одним из наиболее часто атакуемых сервисов является RDP и сегодня мы посмотрим, как можно его защитить.

https://interface31.ru/tech_it/2021/05/zashhita-rdp-ot-perebora-paroley-pri-pomoshhi-obrudovaniya-mikrotik.html

​​Как исправить отображение кириллицы в Windows 10

Сегодня пришлось столкнуться с неправильным отображением кириллицы в предустановленной LTSC 1809.

Проявлялся сей дефект не везде, только в некоторых инсталляторах и вроде бы жить не мешал. Но к этому добавилось некорректное считывание кодов маркировки в 1С:Предприятие на русской раскладке.

В общем пришлось разбираться. На самом деле все несложно, но, как всегда, инструкции в сети не блещут полнотой.

В итоге пришлось сравнить ветки реестра двух систем и внести изменения по аналогии.

Итак, нам нужна ветка:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage

В ней меняем значения трех параметров:

ACP - 1251
MACCP - 10007
OEMCP - 866

Перезагружаемся и все начинает отображаться как надо, правда некоторое ПО, например, 1С или драйвера АТОЛ пришлось переустановить.

​​Используем Cockpit для администрирования Debian и Ubuntu

Веб-интерфейсы занимают сегодня заслуженное место среди инструментов системного администратора.

Часто, не претендуя на всеобъемлющую и тонкую настройку, они предоставляют простые и удобные инструменты для базовых задач администрирования, а также ряд сервисных функций, таких как доступ к логам, автозагрузке и т.п.

Сегодня мы рассмотрим легкий и простой веб-интерфейс для администрирования Linux серверов - Cockpit, а также расскажем о том, как установить его и использовать в среде операционных систем Debian и Ubuntu.

https://interface31.ru/tech_it/2023/05/ispol-zuem-cockpit-dlya-administrirovaniya-debian-i-ubuntu.html

​​Рекомендации от Сisofy для повышения безопасности SSH в конфигурации по умолчанию для Debian и Ubuntu

🔹 Запретить перенаправление TCP

AllowTcpForwarding (set YES to NO)

🔹 Уменьшить количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс.

ClientAliveCountMax (set 3 to 2)

🔹 Отключить сжатие

Compression (set YES to NO)

🔹 Увеличить подробность лога

LogLevel (set INFO to VERBOSE)

🔹 Уменьшить количество попыток ввода пароля

MaxAuthTries (set 6 to 3)

🔹 Уменьшить максимальное количество открытых сессий

MaxSessions (set 10 to 2)

🔹 Изменить порт на нестандартный

Port (set 22 to )

🔹 Запретить поддержание соединения через TCP

TCPKeepAlive (set YES to NO)

🔹 Отключачем перенаправление X11

X11Forwarding (set YES to NO)

🔹 Запретить перенаправление SSH-агента (передача ключа)

AllowAgentForwarding (set YES to NO)

​​Длина имени файла и абсолютного пути

Вопрос, на первый взгляд простой, но с регулярной периодичностью возникают ситуации, когда неверное понимание этого вопроса приводит к разного рода недоразумениям. Особенно в мультиплатформенных средах.

☝️ Начнем с Windows. Классическая длина имени – 255 символов, максимальная длина пути – 260 символов.

Обратите внимание – символов, максимальная длина имени директории – 244 символа, так как система резервирует часть пути для файла в формате 8.3.

Однако начиная с Windows 10 1607 и Server 2016 эти ограничения можно отключить, в этом случае лимит имени файла или абсолютного пути будет определяться файловой системой, для NTFS это 32767 символов, для ReFS - 32000 символов.

👉 Теперь Linux. Имена файлов в Linux могут быть длиной до 255 байт. Полная длина пути не должна превышать 4096 байт. В отличие от Windows в ограничениях используются не символы, а байты. А кодировка UTF-8 для символов национальных алфавитов предусматривает до 4 байт на 1 символ.

Таким образом длина имени у нас может неожиданным образом оказаться ограниченной 63 символами, а максимальный путь стать 1024 символа.

Кириллица занимает 2 байта на символ, поэтому в Linux вы будете ограничены 127 символами в имени файла и 2048 символами в пути.

Смешивая различные символы, вы получите различные варианты лимитов между максимальными и минимальными.

Обычно это вызывает сложности при копировании или распаковке файлов из систем с кодировками CP-1251 или KOI-8.

Еще одна особенность связана с использованием криптографических файловых систем, таких как eCryptFS , в этом случае длина пути будет ограничена 143 байта или 71 символ на кириллице.

​​На днях затронули тему SSH и выяснилось, что про SSH-туннели знают далеко не все. Поэтому никогда не поздно наверстать упущенное:

SSH-туннели на службе системного администратора

Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт.

Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.

https://interface31.ru/tech_it/2017/04/ssh-tunneli-na-sluzhbe-sistemnogo-administratora.html

​​Сегодня еще немного об SSH, точнее о выполнении команд на удалённом сервере.

Чтобы это сделать - необязательно заходить на него, достаточно выполнить:

ssh user@remotehost cat ~/myfile

И вы получите в локальном терминале вывод указанной команды. Это удобно, если нужно обработать результат локально или быстро узнать статус службы или перезапустить ее.

При этом важно понимать, что на удаленном узле выполняется только первая команда, все перенаправления или конвейеры будут работать уже локально.

Например:

ssh user@remotehost mysqldump -uroot-p database > database.sql

Выгрузит дамп MySQL базы на удаленном сервере, но сохранит его локально. Это работает даже на платформе Windows, где уже давно есть встроенный OpenSSH.

А вот такая конструкция отлично сработает в Linux, но даст вам ошибку в Windows, так как в ней нет команды grep:

ssh user@remotehost dpkg -l | grep 1c-ent

Это как раз то, о чем мы говорили, при такой записи dpkg выполниться удаленно, а grep - локально.

Чтобы выполнить команду полностью на удаленном узле ее нужно взять в одинарные кавычки.

ssh user@remotehost 'dpkg -l | grep 1c-ent'

С другой стороны никто нам не мешает решать часть задач другими инструментами:

ssh user@remotehost dpkg -l | Select-String -SimpleMatch "1c-ent"

Здесь мы получили нужную информацию с удаленного узла и обработали ее при помощи PowerShell

Тайная жизнь серверов NETRACK    
Простым языком и в картинках о суровых буднях лучших дата-центров Москвы. А ещё у нас можно арендовать сервер под любой запрос👍  
Самое горячее и интересное в Telegram - канале NETRACK🔥

​​Настраиваем Honeypot на роутерах Mikrotik

Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п.

В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников.

В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.

https://interface31.ru/tech_it/2023/05/nastraivaem-honeypot-na-routerah-mikrotik.html

​​Исправляем ошибку подключения Windows к общим ресурсам на сервере Samba Linux

Ошибки сетевого доступа в Windows - вещь довольно неприятная, тем более что не все умеют их правильно диагностировать и исправлять.

При том, что интернет кишит различными способами самой разной степени сомнительности.

Поэтому мы решили подробно разобрать одну из типовых ситуаций, показав как процесс диагностики, так и различные способы решения проблемы, каждое из которых имеет свои особенности, в частности влияние на безопасность.

Такой подход позволит не только выяснить причины ошибки и устранить ее, но и поможет подойти к этому вопросу осознанно, полностью представляя последствия своих действий.

https://interface31.ru/tech_it/2023/05/ispravlyaem-oshibku-podklyucheniya-windows-k-obshhim-resursam-na-servere-samba-linux.html

​​Free или Available memory в Linux

В очередной раз сталкиваюсь с тем, что администраторы не понимают разницу между этими двумя показателями оперативной памяти в Linux.

Например, команда free -m может дать нам такой вывод:

total used free shared buff/cache available
Mem: 60169 27996 9001 8472 23171 22576

На первый взгляд может показаться, что все хорошо, ведь доступно еще практически треть памяти. Но на самом деле не очень. Потому как свободно всего 9 ГБ.

Почему так? Для этого нужно углубиться в принципы организации памяти в Linux. Кроме занятой процессами памяти – used в системе присутствует еще буферы и кеш - buff/cache, которые содержат разделяемые библиотеки, буферы ввода-вывода и т.д. и т.п., что позволяет системе меньше обращаться к диску.

Можем ли мы сбросить буферы и очистить кеш? Да, можем, но когда после этого приложению потребуется какие-то данные или вызов библиотеки – то все это снова будет подгружено с жесткого диска и вполне может оказаться, что сделали мы только хуже, так как производительность системы на некоторое время упрется в производительность дисков, пока снова не будет заполнен кеш.

Поэтому в данной ситуации рассчитывать на 22,5 ГБ доступной памяти будет крайне неосмотрительно. В лучшем случае система может посчитать, что ей выгоднее сбросить страницы приложений в своп, вместо очистки кеша.

А в худшем в вовсе может решить, что сохранить кеш важнее, нежели сохранить процесс и застрелит его при помощи OOM Killer.

Кстати, системы мониторинга, тот же Zabbix будут смотреть именно на свободную память и выдавать вам алерты при ее исчерпании, хотя доступной памяти может быть еще много.

Также рекомендуем прочесть следующие статьи:

🔹 Linux - начинающим. Что такое пространства подкачки и как они работают

🔹 Linux - начинающим. Что такое OOM Killer и как он работает

Что еще почитать на тему подкачки в Linux и почему она нужна:

https://habr.com/ru/companies/flant/articles/348324/

Из комментов: Дело в том, что ядро не видит большой разницы между свопом и открытыми файлами. И если свопа нет, а память нужна — то сбрасываются файловые кеши, с которыми прямо сейчас кто-то мог работать. В результате даже при выключенном свопе мы наблюдаем высокое IO, будто система «свопится».

Если своп есть, то туда вытесняются страницы к которым редко обращались, а файловый кеш остается на месте, что повышает среднюю производительность.