​​На днях затронули тему SSH и выяснилось, что про SSH-туннели знают далеко не все. Поэтому никогда не поздно наверстать упущенное:

SSH-туннели на службе системного администратора

Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт.

Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.

https://interface31.ru/tech_it/2017/04/ssh-tunneli-na-sluzhbe-sistemnogo-administratora.html

​​Сегодня еще немного об SSH, точнее о выполнении команд на удалённом сервере.

Чтобы это сделать - необязательно заходить на него, достаточно выполнить:

ssh user@remotehost cat ~/myfile

И вы получите в локальном терминале вывод указанной команды. Это удобно, если нужно обработать результат локально или быстро узнать статус службы или перезапустить ее.

При этом важно понимать, что на удаленном узле выполняется только первая команда, все перенаправления или конвейеры будут работать уже локально.

Например:

ssh user@remotehost mysqldump -uroot-p database > database.sql

Выгрузит дамп MySQL базы на удаленном сервере, но сохранит его локально. Это работает даже на платформе Windows, где уже давно есть встроенный OpenSSH.

А вот такая конструкция отлично сработает в Linux, но даст вам ошибку в Windows, так как в ней нет команды grep:

ssh user@remotehost dpkg -l | grep 1c-ent

Это как раз то, о чем мы говорили, при такой записи dpkg выполниться удаленно, а grep - локально.

Чтобы выполнить команду полностью на удаленном узле ее нужно взять в одинарные кавычки.

ssh user@remotehost 'dpkg -l | grep 1c-ent'

С другой стороны никто нам не мешает решать часть задач другими инструментами:

ssh user@remotehost dpkg -l | Select-String -SimpleMatch "1c-ent"

Здесь мы получили нужную информацию с удаленного узла и обработали ее при помощи PowerShell

Тайная жизнь серверов NETRACK    
Простым языком и в картинках о суровых буднях лучших дата-центров Москвы. А ещё у нас можно арендовать сервер под любой запрос👍  
Самое горячее и интересное в Telegram - канале NETRACK🔥

​​Настраиваем Honeypot на роутерах Mikrotik

Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п.

В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников.

В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.

https://interface31.ru/tech_it/2023/05/nastraivaem-honeypot-na-routerah-mikrotik.html

​​Исправляем ошибку подключения Windows к общим ресурсам на сервере Samba Linux

Ошибки сетевого доступа в Windows - вещь довольно неприятная, тем более что не все умеют их правильно диагностировать и исправлять.

При том, что интернет кишит различными способами самой разной степени сомнительности.

Поэтому мы решили подробно разобрать одну из типовых ситуаций, показав как процесс диагностики, так и различные способы решения проблемы, каждое из которых имеет свои особенности, в частности влияние на безопасность.

Такой подход позволит не только выяснить причины ошибки и устранить ее, но и поможет подойти к этому вопросу осознанно, полностью представляя последствия своих действий.

https://interface31.ru/tech_it/2023/05/ispravlyaem-oshibku-podklyucheniya-windows-k-obshhim-resursam-na-servere-samba-linux.html

​​Free или Available memory в Linux

В очередной раз сталкиваюсь с тем, что администраторы не понимают разницу между этими двумя показателями оперативной памяти в Linux.

Например, команда free -m может дать нам такой вывод:

total used free shared buff/cache available
Mem: 60169 27996 9001 8472 23171 22576

На первый взгляд может показаться, что все хорошо, ведь доступно еще практически треть памяти. Но на самом деле не очень. Потому как свободно всего 9 ГБ.

Почему так? Для этого нужно углубиться в принципы организации памяти в Linux. Кроме занятой процессами памяти – used в системе присутствует еще буферы и кеш - buff/cache, которые содержат разделяемые библиотеки, буферы ввода-вывода и т.д. и т.п., что позволяет системе меньше обращаться к диску.

Можем ли мы сбросить буферы и очистить кеш? Да, можем, но когда после этого приложению потребуется какие-то данные или вызов библиотеки – то все это снова будет подгружено с жесткого диска и вполне может оказаться, что сделали мы только хуже, так как производительность системы на некоторое время упрется в производительность дисков, пока снова не будет заполнен кеш.

Поэтому в данной ситуации рассчитывать на 22,5 ГБ доступной памяти будет крайне неосмотрительно. В лучшем случае система может посчитать, что ей выгоднее сбросить страницы приложений в своп, вместо очистки кеша.

А в худшем в вовсе может решить, что сохранить кеш важнее, нежели сохранить процесс и застрелит его при помощи OOM Killer.

Кстати, системы мониторинга, тот же Zabbix будут смотреть именно на свободную память и выдавать вам алерты при ее исчерпании, хотя доступной памяти может быть еще много.

Также рекомендуем прочесть следующие статьи:

🔹 Linux - начинающим. Что такое пространства подкачки и как они работают

🔹 Linux - начинающим. Что такое OOM Killer и как он работает

Что еще почитать на тему подкачки в Linux и почему она нужна:

https://habr.com/ru/companies/flant/articles/348324/

Из комментов: Дело в том, что ядро не видит большой разницы между свопом и открытыми файлами. И если свопа нет, а память нужна — то сбрасываются файловые кеши, с которыми прямо сейчас кто-то мог работать. В результате даже при выключенном свопе мы наблюдаем высокое IO, будто система «свопится».

Если своп есть, то туда вытесняются страницы к которым редко обращались, а файловый кеш остается на месте, что повышает среднюю производительность.

​​Гарантия по другую сторону баррикад, часть 3

😱 Самосбор – вечная головная боль гарантии, да и не только. Почему так? Поговорим ниже.

Лично мое мнение: самосбор сегодня – это ненужные понты в большинстве своем. В любой торговой организации вы можете выбрать любые комплектующие и вам их соберут за сумму малую.

Заниматься самосбором можно, но, если вы имеете необходимый запас тестовых запчастей и уверены на все 100% в совместимости деталей. Но и тут есть особенности.

Скажем свой домашний компьютер я собираю сам. Но если мне надо собрать заказчику партию ПК, то я закажу сборку у поставщика. Да, потеряю потенциальную 1000 на марже, но буду спать спокойно.

Почему? Да потому что чем больше объем партии, тем выше вероятность получить брак. И просто так у вас этот брак не примут.

Диспозицию мы обрисовали и теперь снова переместимся по другую сторону баррикад, на сторону техотдела и гарантийки, которые работают в тесном тандеме.

Что будет, если покупатель сам подобрал конфигурацию и услуги по ее сборке? Ее проверят еще на этапе заказа, ну или перед сборкой, чтобы исключить ну совсем явные ляпы. Скажем, кулер по креплению не подходит к сокету, память не подходит по частоте или напряжению (привет DDR3L) т.д. и т.п.

Но это больше заморочки отдела продаж и клиента, так как возвращать придется товар надлежащего качества.

А вот куда хуже, когда действительно брак.

При сборке техотделом это выясняется еще на этапе сборки и тестирования. Битая планка памяти? Бывает. Гоняем MemTest, отдаем коллеге из гарантии, берем новую на складе. Весь брак крутится внутри без всякой бюрократии и вопросы решаются максимально быстро.

Вопросы несовместимости обычно тоже решаются проще, с покупателем согласовывается замена, а вскрытая комплектуха уходит в другую сборку.

А теперь на пороге гарантийки рисуется покупатель с системником, который он собрал сам.

При этом мы не говорим о дилерах или постоянных корпоративных клиентах, там подход и отношения иные. Да и первичная диагностики там уже выполнена, причем на довольно высоком уровне.

А вот когда появляется простой покупатель, который сам купил и сам собрал (или друг маминой подруги помог) – вот тут начинается полный финиш. Даже если диагноз в целом понятен, то сборку все равно надо полностью разобрать, осмотреть на предмет внешних повреждений и т.д. и т.п.

В целом – быстро не будет. А еще хуже, если окажется что сами по себе все компоненты исправны. А еще хуже, если они покупались в разных фирмах. Можно долго бегать из одной гарантии в другую. А в итоге попасть на деньги. Так как несовместимость комплектующих – это не гарантийный случай.

А еще неприятнее будет, если вы по отсутствии опыта чего-то где-то погнете, поцарапаете, сорвете или повредите пломбы и т.д. и т.п.

Случай сразу же перестает быть гарантийным, даже если такое повреждение прямо не связано с дефектом. Это уже на автомате и доказать обратное будет крайне трудно.

Поэтому сто раз подумайте, надо ли собирать самому. Особенно если вы не имеете достаточного опыта или собираете партию. Пусть соберет продавец. Это избавит вас от кучи заморочек на ровном месте, особенно от брака из коробки.

Ну а если не нравится, как собрали – никто не мешает перебрать. Но потенциальной стопки проблем и довольно небыстрого общения с гарантийкой вы избежите.

⚡️Ведущий ИТ-консалтинг теперь в телеграм

🤓Как понимать современный ИТ:
1) обучиться на MBA курсе в Сколково
2) Ежедневно изучать тренды в Gartner и вестнике McKinsey
3) Обрабатывать терабайты данных и формировать базу знаний

🤖Или читать «Будни цифровизатора» — обучающую телеграм-платформу от ведущих экспертов BIG4 и FAANG. 
😎Будьте первыми, кто узнаёт современные тренды и практики — подписывайтесь 👉@CDTOdaily

Нежданчик от WireGuard

Жена поехала в командировку. Попросила в дорогу мой новый ноут. Который DEPO.

Да не вопрос, их поддержка подключилась и все настроила. Там в качестве корпоративного VPN используется WireGuard.

У жены отдельный аккаунт.

И каково было мое удивление, когда я зашел под собой и не только увидел ее VPN, но и обнаружил его подключенным!

Перелогинился и под ней увидел свой!

Ну ребята, не ожидал такого. Так делать нельзя.

Кстати, OpenVPN абсолютно корректно отрабатывает данную ситуацию. Там у каждого пользователя свои коннекты и доступа к чужим нет.

Так что, кто использует WireGuard на Windows думайте и размышляйте.

​​Почему мы ничего не пишем про "защиту" от DDoS и прочую подобную ерунду на Mikrotik?

Время от времени нам задают подобный вопрос, на что мы отвечаем что не даже не собираемся. Почему? Да потому что это не работает.

Причем это касается не только MikroTik, но и остального железа пользовательского и начального уровня, включая x86 сервера.

Все это можно читать сугубо от нечего делать в одном небольшом спокойном кабинете, уединившись там по неотложным делам.

А помочь это может сугубо в одном случае - если вас решил атаковать кружок юных хакеров начальных классов при сельском клубе.

В остальных случаях вы только зря потратите время, а, возможно, и деньги.

Сегодня одного заказчика серьезно заДДоСили, положили канал в 70 МБит/с и RB3011 на нем. Половину дня его представитель еще что-то пытался делать сам, хотя мы сразу сказали - это безнадежная задача.

К обеду убедился. Провайдер развел руками и сказал, что ничего предложить не может, не располагает возможностями.

В итоге обратились в Ростелеком, чей канал на территории есть, но не используется.

Там выслушали, спросили про оконечное оборудование, посмеялись и предложили два варианта.

🔹 Защита от них, примерно 28 тыс. руб. месяц.

🔹 Eltex ESR-20 FSTEC - цена вопроса примерно 300 тыс. руб. Срок поставки от месяца.

А из всех советов полезным оказался только один, от того же безопасника из РТ: поставить для входящего трафика на внешнем интерфейсе простую очередь, начиная от 1-2 Мбит/с и при необходимости увеличивая.

Атаку это не отобьет, но хотя бы позволит как-то работать роутеру, а вам анализировать ситуацию.

​​Полезная команда tee в Linux

Любой Linux-администратор, активно работающий в консоли, должен знать и умело использовать эту команду.

Как и все классические утилиты tee выполняет одну задачу, но делает ее хорошо. Ее смысл можно представить в виде буквы Т - команда принимает на вход стандартны поток ввода и выдает его же в стандартный поток вывода, одновременно записывая его содержимое в один или несколько файлов.

Например:

command | tee file1.log

В данном случае мы не только увидим результат выполнения команды на экране, но и запишем его содержимое в файл file1.log.

Это удобно для фиксации промежуточного результата, особенно в целях логирования или отладки.

command1 | tee file1.log | command2

В примере выше мы передали результат работы первой команды на вход второй, попутно записав его в файл.

По умолчанию tee перезаписывает указанный файл, если же мы хотим его дописать, то следует использовать ключ -a:

command1 | tee -a file1.log

Еще один интересный ключ -i, который предписывает игнорировать команды завершения, такие как Ctrl + C.

Для чего это нужно? Допустим вы запустили какую-то длительную команду, результат которой вам нужно записать в файл, а потом решили ее прервать по Ctrl + C, при наличии данного ключа tee продолжит работу и корректно завершит запись в файл.

ping ya.ru | tee -i ping_ya.txt

Еще один вариант использование tee - это повышение прав для записи в системные файлы. Например:

sudo echo "строка_текста" > /etc/myconf.conf

Не увенчается успехом, а если сделать вот так, то все получится:

echo "строка_текста" | sudo tee /etc/myconf.conf

Как видим, tee - простая, но весьма удобная и функциональная команда.

​​Wi-Fi и Mikrotik - вечный источник проблем...

Нареканий на реализацию Wi-Fi в роутерах Mikrotik много и чаще всего они связаны с древней аппаратной частью и устройствами Apple.

И тут, чаще всего, возможность гибкой настройки этого самого Wi-Fi не может перевесить его, скажем мягко, недостатков, если не сказать убогости.

Одни мои хорошие знакомые, уполномоченная бухгалтерия в бизнес центре. Пять рабочих мест, обслуживается через RB2011, Wi-Fi для телефонов и ноутбуков руководства, которые сейчас часто идут без LAN.

Плюс недалеко кабинет директора, подключен тоже по Wi-Fi через hAP в режиме station.

В целом все работало, но вечно были нарекания на Wi-Fi, ну оно и понятно, диапазон 2,4 ГГц загружен в офисном центре по самое не балуйся.

Посмотрев на свое железо обнаружили, что почти все оно работает в 5 ГГц. Бинго, пойдем и купим сейчас железку на 5 ГГц и перекинем Wi-Fi на нее.

Сказано сделано, сходили в DNS на первом этаже центра и принесли оттуда Xiaomi Mi Router 4A, машинка неплохая, даже местами немного умная. Быстро настроили, но радость была недолгой...

Сеть упала, роутер недоступен. Сбросили на заводские, настроили еще раз - не работает. Потом настроили как-то немного по другому - все ОК, пока не подключили клиента в лице hAP.

После этого роутер Xiaomi, хоть в режиме роутера, хоть в режиме точки доступа, как был настроен изначально, просто ложиться по всем интерфейсам, выключаем hAP - поднимается.

У меня есть рабочая cAP Lite для лаборатории, взял, приехал, так как у hAP пару портов пожгло когда-то грозой и были по его поводу сомнения.

В общем с cAP Lite ситуация повторилась, перепробовали все доступные клиентские режимы, сбросили через netinstall - но не помогло.

Дело было сильно к вечеру, разбираться не стали, снова включили Wi-Fi на 2011 и зацепили hAP на него, но будет время - надо будет изучить этот вопрос.

Пока не понятно, кто виновник данной ситуации Mikrotik или Xiaomi. Но ситуация довольно показательна. Сталкивались ли вы с подобным? Какие ваши предположения?

Хотите узнать, как всего  за 10 минут с помощью Excel облегчить работу в бухгалтерии уже сегодня?

Подписчикам канала открыт бесплатный доступ к уроку по работе в Excel на курсе «Аналитика данных».

Подсказки в уроке позволяют обрабатывать бухгалтерские данные всего за пару минут.

Пройдите пробный доступ, чтобы принять решение об обучении аналитике данных и закрепите за собой скидку 10% на полный курс. Начни учиться бесплатно, а потом за 3 333 рублей в месяц.

Оставьте заявку на бесплатный доступ по ссылке. Пригодится. 😉

​​Снова лето и снова одни и те же вопросы. Поэтому повторим.

Пришло лето, а вместе с ним и жаркие деньки, но в это время администраторы думают вовсе не о пляже, а о температурном режиме обслуживаемого оборудования.

Перегрев может негативно сказываться как на производительности, так и на сроке службы устройств. Как понять, требуется ли дополнительное охлаждение основным компонентам вашего компьютера или сервера если вы работаете под управлением Linux?

Очень просто и сегодня мы расскажем о простых и надежных утилитах, позволяющих получить информацию о состоянии оборудования даже если вам доступна только командная строка.

https://interface31.ru/tech_it/2022/06/linux-nachinayushhim-kak-uznat-temperaturu-processora-i-diska.html

​​Из Red Hat Linux изгоняют LibreOffice

Компания Red Hat, подконтрольная IBM, приняла решение о прекращении поставок RPM-пакетов с офисным ПО LibreOffice для Linux-дистрибутива RHEL для корпораций (Red Hat Enterprise Linux). Об этом заявил лично Маттиас Класен (Matthias Clasen), лидер команды Fedora Desktop Team и участник группы разработчиков GNOME Release Team.

Изменения вступят в силу с релизом сборки Red Hat Enterprise Linux 10, дата которого пока не определена. На 7 июня 2023 г. самой новой версией RHEL была 9.2, датированная 10 мая 2023 г.

Что касается Fedora, дистрибутива Linux от Red Hat для обычных пользователей, то нововведения коснутся и его. Компания намерена резко сократить свое участие разработке пакетов LibreOffice для этой ОС.

В качестве официальной причины потери интереса к разработке пакетов LibreOffice, пишет The Register, Red Hat приводит свое стремление по пересмотру задач, выполняемых работниками компании. В частности, это коснется специалистов команды Red Hat Display Systems – именно они трудились над пакетами LibreOffice и для RHEL, и для Fedora.

По сути, члены этой группы займутся своими прямыми обязанностями, среди которых – интеграция в дистрибутивы поддержки HDR и оптимизация поддержки обеими ОС протокола Wayland, детища бывшего сотрудника Red Hat Кристиана Хосберга (Kristian Hogsberg), работа над которым ведется с 2008 г. Этот протокол служит для организации графического сервера в Linux и прочих UNIX-подобных ОС.

Однако эксперты издания уверены, что истинная причина кроется именно в кадровом вопросе, вернее, в одном конкретном сотруднике Red Hat, теперь уже бывшем.

Не так давно ряды Red Hat покинул лид-мейнтейнер Каолан МакНамара (Caolan McNamara) принимавший непосредственное участие в развитии пакетов LibreOffice под Fedora и RHEL. Он ушел работать в Collabora – компанию, которая является ключевым разработчиком LibreOffice.

Полная новость: https://www.cnews.ru/news/top/2023-06-07_libreoffice_izgonyayut_iz_red_hatpolzovatelej

💰 Узнайте о финансировании и господдержке в Дубае!

Палата цифровой экономики Дубая совместно с Московской торгово-промышленной палатой проведет вебинар для российских компаний в сфере IT, digital, инноваций, цифровизации, ИИ, которые хотят масштабировать свой бизнес на рынок ОАЭ и узнать о финансировании и господдержке в ОАЭ.

Спикеры вебинара:
🔹 Сурен Варданян, Вице-президент Московской Палаты.
🔹 Саид Аль Гергави, Вице-президент Палаты Дубая. 
🔹 Морис Танас, управляющий Экосистемы цифровой экономики и акселерации Палаты Дубая.

Это отличная возможность узнать о всех возможностях, которые могут получить компании на рынке ОАЭ без посредников!

⚡️ Регистрация открыта до 19 июня включительно, после мероприятия можно будет приобрести запись эфира, но советуем присутствовать лично 😉

☝ Первым 20 участникам наш канал дарит скидку 20% по промокоду DUBAI1.

Ссылка на регистрацию тут.

​​Некоторые результаты тестирования бюджетных накопителей.

Более подробные результаты будут в обзоре, а пока что краткие результаты.

Для тестирования использовался тест PCMark 10 Full System Drive, который в отличии от синтетики, использует реальные трассы реальных задач, начиная от загрузки системы, работы с офисными и графическими пакетам, а завершая играми и работой с мультимедиа и хранением.

Общий объем теста - 80 ГБ, на диск записывается примерно 220 ГБ, что дает возможность выйти за пределы SLC-кеша и получить данные о реальной производительности.

1️⃣ Начнем c жестких дисков. Их время безвозвратно ушло, кроме хранения холодных данных и ряда иных нишевых сценариев. Даже откровенно слабые SSD опережают их по производительности раза в три.

Также не стоит бояться черепицы, да, у нее есть свои особенности и сценарии где использование таких дисков категорически не рекомендуется, но в целом ничего страшного в них нет. Это показывает Toshiba PC L200, который во всех сценариях показал себя не хуже своего обычного брата - синего WD.

2️⃣ Дорогие SSD, вроде EVO 860 продолжают держать пальму первенства, даже в SATA-сегменте, где ничего производительного давно не предполагается. Но результат говорит сам за себя.

3️⃣ Бюджетные SSD бывают разные, откровенно слабые, как BX500 или крепкие середнячки вроде Digma (Phison S11). А если поискать, то можно найти и модельки поинтереснее, вроде той же ADATA SU650, которая, кстати, в два раза дешевле EVO, а по производительности не сильно и уступает.

В целом "походить по рынку" никогда не мешает, изучив что предлагают вам примерно за одну и туже цену.

Но если речь идет о простом рабочем ПК, печатной машинке - то можете брать что первое попалось, все равно это будет гораздо лучше чем HDD.