erid: LjN8KTHw8
🐧 Best Practice Linux + Ansible. Бесплатный вебинар.
25 июля в 20:00 Слёрм проведёт открытый вебинар «Избавляемся от рутины и получаем деньги. Best practice Linux + Ansible». Рассмотрим их сразу вместе, потому что администрировать Linux без знания Ansible — это как уметь водить машину, но ездить на ней только по двору 😥
ЗАРЕГИСТРИРОВАТЬСЯ
О чем будут говорить:
➡ Первичная установка и развертывание машин: как настроить все не руками?
➡ Почему важно автоматизировать рутину, и как это сделать с помощью Ansible и IaC?
➡ Почему Ansible пригодится админу всегда?
На вебинаре будет возможность задать вопросы спикерам и получить обратную связь. Подключайтесь!
🔗 ХОЧУ НА ВЕБИНАР
🐧 Best Practice Linux + Ansible. Бесплатный вебинар.
25 июля в 20:00 Слёрм проведёт открытый вебинар «Избавляемся от рутины и получаем деньги. Best practice Linux + Ansible». Рассмотрим их сразу вместе, потому что администрировать Linux без знания Ansible — это как уметь водить машину, но ездить на ней только по двору 😥
ЗАРЕГИСТРИРОВАТЬСЯ
О чем будут говорить:
➡ Первичная установка и развертывание машин: как настроить все не руками?
➡ Почему важно автоматизировать рутину, и как это сделать с помощью Ansible и IaC?
➡ Почему Ansible пригодится админу всегда?
На вебинаре будет возможность задать вопросы спикерам и получить обратную связь. Подключайтесь!
🔗 ХОЧУ НА ВЕБИНАР
Быстрый и простой перенос Borg Backup на другой сервер
Резервное копирование - это важная часть работы любого системного администратора. Не так давно мы рассказывали как установить простой и эффективный сервер резервного копирования Borg Backup.
Сегодня мы рассмотрим иную ситуацию - как быть, если его нужно перенести на другой сервер.
https://interface31.ru/tech_it/2022/03/bystryy-i-prostoy-perenos-borg-backup-na-drugoy-server.html
Причины для этого могут быть разные, но чаще всего это выход за аппаратные возможности конфигурации оборудования, без возможности ее изменения (так обычно бывает на VPS), либо иные причины, вызванные внешними факторами.
Резервное копирование - это важная часть работы любого системного администратора. Не так давно мы рассказывали как установить простой и эффективный сервер резервного копирования Borg Backup.
Сегодня мы рассмотрим иную ситуацию - как быть, если его нужно перенести на другой сервер.
https://interface31.ru/tech_it/2022/03/bystryy-i-prostoy-perenos-borg-backup-na-drugoy-server.html
Причины для этого могут быть разные, но чаще всего это выход за аппаратные возможности конфигурации оборудования, без возможности ее изменения (так обычно бывает на VPS), либо иные причины, вызванные внешними факторами.
👍10
Самый массовый сбой в работе Windows
Сегодня, в пятницу 19 июля 2024 года во всем мире произошел масштабный сбой Windows, компьютеры стали неожиданно уходить в перезагрузку с синим экраном смерти.
Сбой оказался настолько масштабным, что по некоторым оценкам пострадало более десятка миллионов узлов во всем мире.
Под удар попали авиационные и железнодорожные перевозки, медицина и банковская отрасль, платежные системы, торговля… Сообщения о сбое идут буквально со всех континентов?
Что это массовая хакерская атака? Нет. Очередной раз накосячили с обновлениями? Да, только не Microsoft, а фирма CrowdStrike – известный поставщик обеспечения по безопасности.
Фактически мы имеем ситуацию, когда антивирус нанес ущерб больше, чем возможная атака злоумышленников. Американские СМИ сообщают, что нынешний сбой уже нанес больший ущерб, чем атака вирусом-вымогателем WannaCry в 2017 году.
Ситуация усугубляется тем, что автоматически устранить проблему невозможно, для этого на каждом узле потребуется физическое присутствие специалиста.
Компания CrowdStrike ошибку признала и сказала, что ведет расследование инцидента, хотя это может быть и началом конца, акции компании уже успели рухнуть на 20%, да и репутацию потребуется довольно долго вытаскивать из-за плинтуса.
В России же данный сбой остался незамеченным, так как CrowdStrike в рамках санкций заблокировала доступ к своим продуктам и их обновлениям.
Сегодня, в пятницу 19 июля 2024 года во всем мире произошел масштабный сбой Windows, компьютеры стали неожиданно уходить в перезагрузку с синим экраном смерти.
Сбой оказался настолько масштабным, что по некоторым оценкам пострадало более десятка миллионов узлов во всем мире.
Под удар попали авиационные и железнодорожные перевозки, медицина и банковская отрасль, платежные системы, торговля… Сообщения о сбое идут буквально со всех континентов?
Что это массовая хакерская атака? Нет. Очередной раз накосячили с обновлениями? Да, только не Microsoft, а фирма CrowdStrike – известный поставщик обеспечения по безопасности.
Фактически мы имеем ситуацию, когда антивирус нанес ущерб больше, чем возможная атака злоумышленников. Американские СМИ сообщают, что нынешний сбой уже нанес больший ущерб, чем атака вирусом-вымогателем WannaCry в 2017 году.
Ситуация усугубляется тем, что автоматически устранить проблему невозможно, для этого на каждом узле потребуется физическое присутствие специалиста.
Компания CrowdStrike ошибку признала и сказала, что ведет расследование инцидента, хотя это может быть и началом конца, акции компании уже успели рухнуть на 20%, да и репутацию потребуется довольно долго вытаскивать из-за плинтуса.
В России же данный сбой остался незамеченным, так как CrowdStrike в рамках санкций заблокировала доступ к своим продуктам и их обновлениям.
😁67👍27❤4🌭4🤷♂1
Куяк-куяк и в продакшен… Ну а чего такого?
Вчерашний массовый сбой на платформе Windows как нельзя лучше иллюстрирует последствия изложенного в заголовке подхода.
К сожалению, доступность каналов распространения ПО, позволяющую буквально моментально доставлять пользователям обновления породила ложное представление о необязательности тщательного тестирования. Мол если что – быстренько доставим патч.
Ну это если будет куда доставлять, что вчерашняя ситуация и показала.
Виновник «торжества» CrowdStrike Falcon Sensor – агент безопасности противостоящий киберугрозам. Такое сильно продвинутое антивирусное ПО, сильно корпоративное и дорогое.
Как и любое антивирусное ПО оно позволяло себе некоторые вольности, в частности CrowdStrike Falcon Sensor мог обновлять некоторые свои драйвера автоматически, не спрашивая пользователя и не предоставляя ему возможности на этот процесс повлиять.
В чем-то такой подход и оправдан, все мы помним, что зловредное ПО уже давно научилось противодействовать антивирусному софту, в частности блокируя процесс обновления или доступа к серверам обновлений.
Но при этом на первый план выходит тестирование распространяемых подобным образом компонентов, так как драйвер – это самый доступный способ вызвать критический сбой на уровне ядра, т.е. BSOD.
А вот с тестированием там все было плохо, так в апреле этого года пользователи Debian Linux столкнулись с тем, что после обновления CrowdStrike Falcon их системы отказывались загружаться.
Как позже выяснилось разработчики просто «забыли» добавить Debian в матрицу тестирования.
Немного ранее пользователи обновившие системы до RockyLinux 9.4 столкнулись со сбоями из-за ошибки ядра (Kernel panic). CrowdStrike признали проблему и сообщили, что ее причиной стало недостаточное тестирование и некоторые проблемы связанные с обеспечением совместимости с разными операционными системами.
В июне этого года многочисленные пользователи теперь уже Windows начали жаловаться, что после очередного обновления CrowdStrike Falcon начал потреблять ну очень много ресурсов. Это вызвало волну негатива, но системы хотя бы продолжали работать.
Глядя на это все становилось понятно, что следующий сбой – это просто вопрос времени, как, собственно, и произошло.
На что надеялись разработчики? Непонятно, скорее всего на то, что быстро смогут выпустить и распространить патч и уж конечно не ожидали такого масштаба сбоя.
Теперь же для CrowdStrike это может стать началом конца. Обвал акций более чем на 20% - это очень много, плюс колоссальный репутационный ущерб. Ну поживем – увидим.
Вчерашний массовый сбой на платформе Windows как нельзя лучше иллюстрирует последствия изложенного в заголовке подхода.
К сожалению, доступность каналов распространения ПО, позволяющую буквально моментально доставлять пользователям обновления породила ложное представление о необязательности тщательного тестирования. Мол если что – быстренько доставим патч.
Ну это если будет куда доставлять, что вчерашняя ситуация и показала.
Виновник «торжества» CrowdStrike Falcon Sensor – агент безопасности противостоящий киберугрозам. Такое сильно продвинутое антивирусное ПО, сильно корпоративное и дорогое.
Как и любое антивирусное ПО оно позволяло себе некоторые вольности, в частности CrowdStrike Falcon Sensor мог обновлять некоторые свои драйвера автоматически, не спрашивая пользователя и не предоставляя ему возможности на этот процесс повлиять.
В чем-то такой подход и оправдан, все мы помним, что зловредное ПО уже давно научилось противодействовать антивирусному софту, в частности блокируя процесс обновления или доступа к серверам обновлений.
Но при этом на первый план выходит тестирование распространяемых подобным образом компонентов, так как драйвер – это самый доступный способ вызвать критический сбой на уровне ядра, т.е. BSOD.
А вот с тестированием там все было плохо, так в апреле этого года пользователи Debian Linux столкнулись с тем, что после обновления CrowdStrike Falcon их системы отказывались загружаться.
Как позже выяснилось разработчики просто «забыли» добавить Debian в матрицу тестирования.
Немного ранее пользователи обновившие системы до RockyLinux 9.4 столкнулись со сбоями из-за ошибки ядра (Kernel panic). CrowdStrike признали проблему и сообщили, что ее причиной стало недостаточное тестирование и некоторые проблемы связанные с обеспечением совместимости с разными операционными системами.
В июне этого года многочисленные пользователи теперь уже Windows начали жаловаться, что после очередного обновления CrowdStrike Falcon начал потреблять ну очень много ресурсов. Это вызвало волну негатива, но системы хотя бы продолжали работать.
Глядя на это все становилось понятно, что следующий сбой – это просто вопрос времени, как, собственно, и произошло.
На что надеялись разработчики? Непонятно, скорее всего на то, что быстро смогут выпустить и распространить патч и уж конечно не ожидали такого масштаба сбоя.
Теперь же для CrowdStrike это может стать началом конца. Обвал акций более чем на 20% - это очень много, плюс колоссальный репутационный ущерб. Ну поживем – увидим.
👍52😁11❤3
Почему идеального IT не было, нет и не будет
В комментариях к прошлым заметкам было высказано очень много предложений, причем достаточно толковых о том, как должна выглядеть инфраструктура, которая позволит либо не допустить подобного развития событий, либо быстро и эффективно устранить последствия.
Но увы, подобные схемы могут существовать только в идеальном мире, а в реальной жизни все гораздо проще и прозаичнее, что события минувшей пятницы и показали.
Почему так? Давайте разбираться. Дело в том, что все представленные варианты являются сугубо техническими, т.е. видением ситуации со стороны технического специалиста и его представлением о том, какие меры следует предпринять для их купирования.
Но это мнение одной стороны и не она в данном случае принимает решение. А решение принимает бизнес и руководствуется при этом совсем иными критериями.
Начнем с того, что для бизнеса системный администратор или IT-отдел, занимающийся администрированием – подразделение полностью затратное, прибыли не приносящее, а только требующее денег.
Причем даже если это IT-фирма, прибыль там будут генерировать внедренцы или разработчики, а внутреннее IT продолжит оставаться подразделением полностью затратным.
А любые затраты в бизнесе должны быть экономически обоснованы. Вот приходит к руководству администратор и говорит:
- Нам нужно столько-то денег на систему тестирования и распространения обновлений и еще столько-то на построение инфраструктуры автоматического восстановления.
- Хорошо, - говорит шеф, - а какая вероятность того, что это произойдет?
- Ну 50/50 – отвечает админ, - может случится, а может и нет.
- Ну то есть, - приходит к выводу шеф, - вероятность примерно такова, как если бы в серверную попал метеорит?
- Ну бывают и другие угрозы…
- Ну так будьте добры, предоставьте статистику таких угроз…
После чего выясняется, что подобные сбои, хотя и имеют место быть, но достаточно редки и носят при этом весьма массовый характер.
Следующий вопрос:
- Ну а это, что вы предлагаете, точно нам поможет?
- Ну, точно не скажу, но в аналогичных ситуациях должно помочь.
- Ясно, - говорит шеф, - уважаемый, у вас, наверное, работы стало мало? Нет, так уделите ей больше внимания, а не этим своим фантазиям.
Все это вызывает непонимание и обиду. Но бизнес прав, потому что он оценивает ситуацию языком денег, т.е. сопоставляет необходимые затраты с потенциальными рисками.
В данном случае риски сопоставимы с вероятностью стихийного бедствия. А стихийное бедствие – это всегда форс-мажор, обстоятельства непреодолимой силы, которые нельзя было предвидеть или избежать.
Ну ладно, мы потратили кучу денег и вышли из этой истории победителем. А дальше что? А ничего. Вокруг все лежит, технологические и логистические цепочки нарушены.
Работа все равно встала. Все равно получили убыток. Так зачем нужны были эти дополнительные траты?
Это с точки зрения админа у нас профит: наша система позволила не допустить масштабный сбой или быстро от него восстановиться, какие мы молодцы.
У бизнеса точка зрения будет совершенно другая: мы выкинули кучу денег на ненужную ерунду. Потому что бизнес – это не только и не столько IT.
Поэтому все эти схемы, идеальные и красивые на бумаге, в большинстве своем так на бумаге и останутся. Потому что бизнес готов вкладывать средства для купирования реальных угроз, где математика проста и понятна.
Внедрять системы «противометеоритной защиты» и выделять на это фонды никто в здравом уме не будет.
В комментариях к прошлым заметкам было высказано очень много предложений, причем достаточно толковых о том, как должна выглядеть инфраструктура, которая позволит либо не допустить подобного развития событий, либо быстро и эффективно устранить последствия.
Но увы, подобные схемы могут существовать только в идеальном мире, а в реальной жизни все гораздо проще и прозаичнее, что события минувшей пятницы и показали.
Почему так? Давайте разбираться. Дело в том, что все представленные варианты являются сугубо техническими, т.е. видением ситуации со стороны технического специалиста и его представлением о том, какие меры следует предпринять для их купирования.
Но это мнение одной стороны и не она в данном случае принимает решение. А решение принимает бизнес и руководствуется при этом совсем иными критериями.
Начнем с того, что для бизнеса системный администратор или IT-отдел, занимающийся администрированием – подразделение полностью затратное, прибыли не приносящее, а только требующее денег.
Причем даже если это IT-фирма, прибыль там будут генерировать внедренцы или разработчики, а внутреннее IT продолжит оставаться подразделением полностью затратным.
А любые затраты в бизнесе должны быть экономически обоснованы. Вот приходит к руководству администратор и говорит:
- Нам нужно столько-то денег на систему тестирования и распространения обновлений и еще столько-то на построение инфраструктуры автоматического восстановления.
- Хорошо, - говорит шеф, - а какая вероятность того, что это произойдет?
- Ну 50/50 – отвечает админ, - может случится, а может и нет.
- Ну то есть, - приходит к выводу шеф, - вероятность примерно такова, как если бы в серверную попал метеорит?
- Ну бывают и другие угрозы…
- Ну так будьте добры, предоставьте статистику таких угроз…
После чего выясняется, что подобные сбои, хотя и имеют место быть, но достаточно редки и носят при этом весьма массовый характер.
Следующий вопрос:
- Ну а это, что вы предлагаете, точно нам поможет?
- Ну, точно не скажу, но в аналогичных ситуациях должно помочь.
- Ясно, - говорит шеф, - уважаемый, у вас, наверное, работы стало мало? Нет, так уделите ей больше внимания, а не этим своим фантазиям.
Все это вызывает непонимание и обиду. Но бизнес прав, потому что он оценивает ситуацию языком денег, т.е. сопоставляет необходимые затраты с потенциальными рисками.
В данном случае риски сопоставимы с вероятностью стихийного бедствия. А стихийное бедствие – это всегда форс-мажор, обстоятельства непреодолимой силы, которые нельзя было предвидеть или избежать.
Ну ладно, мы потратили кучу денег и вышли из этой истории победителем. А дальше что? А ничего. Вокруг все лежит, технологические и логистические цепочки нарушены.
Работа все равно встала. Все равно получили убыток. Так зачем нужны были эти дополнительные траты?
Это с точки зрения админа у нас профит: наша система позволила не допустить масштабный сбой или быстро от него восстановиться, какие мы молодцы.
У бизнеса точка зрения будет совершенно другая: мы выкинули кучу денег на ненужную ерунду. Потому что бизнес – это не только и не столько IT.
Поэтому все эти схемы, идеальные и красивые на бумаге, в большинстве своем так на бумаге и останутся. Потому что бизнес готов вкладывать средства для купирования реальных угроз, где математика проста и понятна.
Внедрять системы «противометеоритной защиты» и выделять на это фонды никто в здравом уме не будет.
👍50👎3🔥2
Открываем расчетный счет для ИП айтишника, часть первая
Казалось бы что тут сложного? Банков много, банки разные, изучи условия, прочитай мелкий шрифт и выбирай то, что тебе более подходит.
Но не тут-то было, открыв счет вы столкнетесь с еще одним видом контроля за вашей деятельностью, теперь уже со стороны банка в рамках печально известного 115 ФЗ.
Критериев там очень много, разберем самые критичные для нашего вида деятельности:
▫️Перечисления денежных средств ИП на его счет как физлица в размере более 50% оборота.
▫️Обналичивание или перевод на собственные счета в другие банки более 30% оборота
▫️Отсутствие налоговой нагрузки.
▫️ Нет расходов в рамках обеспечения деятельности бизнеса, например арендные и коммунальные платежи, закупки канцелярских товаров.
▫️Вывод денежных средств в течении короткого срока с момента их поступления.
▫️Необычно большие суммы поступлений, которые в течении короткого момента времени переводятся на другие счета.
ИП, особенно на услугах – это красная тряпка для финмониторинга, так как проверить полноту и действительность оказания услуги зачастую затруднительно. Это дает широкое поле деятельности, называемое легализацией доходов, а по-простому транзит и обнал.
Поэтому если к вам на счет приходят деньги, а потом быстро куда-то уходят, то для банка это уже повод сделать стойку и просветить такого контрагента более внимательно.
Но подождите, скажет начинающий предприниматель, деньги мои, налоги я заплатил, как хочу – так и трачу. А вот и нет. Точнее то деньги ваши, а вот банку, кроме этого, нужна еще и прозрачность.
Поэтому сразу начните платить налоги и взносы в выбранном банке поквартально, чтобы банк видел вашу налоговую нагрузку и не задавал вопросов.
Далее, садимся и крепко чешем репку на предмет платежей в рамках обеспечения деятельности бизнеса. Понятно, что ИП сейчас может работать полностью удаленно из дома, но пойди объясни это банку.
Поэтому оплачиваем с расчетного счета все что можно, даже если цена вопроса пара сотен рублей: заправка картриджа, канцтовары (пусть и ребенку в школу), ЭДО, электронная отчетность. Главное – такие платежи должны быть регулярными.
Если вы арендуете какие-то хостинги, домены, сервера и т.д. – тоже подумайте вариант оплаты их со счета ИП, у большинства вменяемых хостеров цена от статуса клиента не зависит.
Т.е. со стороны банка вы не должны выглядеть черной дырой, куда сливаются деньги и потом выводятся в неизвестном направлении.
Наличка – забудьте это слово как страшный сон, равно как и перевод собственных денег в другой банк. Многие банки ставят это на одну ступень с обналичиванием.
Оптимальный вариант – это открыть карту физического лица в том же банке, где вы открыли расчетный счет и переводить полученные деньги на нее, плюс — это быстрее, выгоднее и удобнее.
Далее можете использовать эту карту самым обычным образом, когда банк видит, что вы тратите выведенные деньги на Пятерочки, такси, кофе и Красное и Белое – вопросов к вам не возникает. Плюс гораздо мягче становятся лимиты.
Также вы можете переводить определенные суммы лицам, являющимся вашими ближайшими родственниками, даже в другой банк. Тут тоже вопросов нет. Но не забываем про лимит.
А вот чего следует избегать – так это переводов физлицам, включая переводы по СБП. Нет, переводить вы можете, но в пределах разумного, пара тысяч рублей никого не смутит. Но если на такие переводы приходится заметная часть оборота, то будут вопросы.
Еще одна большая ошибка, это практически моментальный транзит средств. Если он становится регулярным – ждите вопросов.
Т.е. когда деньги на счет пришли и в течении этого же операционного дня полностью ушли.
Помните, что деньги на расчетном счете – это такие же ваши деньги, как и на карте и никуда они от вас не денутся, поэтому не нужно сразу же выводить его в ноль. Пусть лежат. Так и вам спокойнее и банку.
Объем заметки не позволяет продолжить, поэтому сами банки и особенности работы с ними оставим для следующей части.
Казалось бы что тут сложного? Банков много, банки разные, изучи условия, прочитай мелкий шрифт и выбирай то, что тебе более подходит.
Но не тут-то было, открыв счет вы столкнетесь с еще одним видом контроля за вашей деятельностью, теперь уже со стороны банка в рамках печально известного 115 ФЗ.
Критериев там очень много, разберем самые критичные для нашего вида деятельности:
▫️Перечисления денежных средств ИП на его счет как физлица в размере более 50% оборота.
▫️Обналичивание или перевод на собственные счета в другие банки более 30% оборота
▫️Отсутствие налоговой нагрузки.
▫️ Нет расходов в рамках обеспечения деятельности бизнеса, например арендные и коммунальные платежи, закупки канцелярских товаров.
▫️Вывод денежных средств в течении короткого срока с момента их поступления.
▫️Необычно большие суммы поступлений, которые в течении короткого момента времени переводятся на другие счета.
ИП, особенно на услугах – это красная тряпка для финмониторинга, так как проверить полноту и действительность оказания услуги зачастую затруднительно. Это дает широкое поле деятельности, называемое легализацией доходов, а по-простому транзит и обнал.
Поэтому если к вам на счет приходят деньги, а потом быстро куда-то уходят, то для банка это уже повод сделать стойку и просветить такого контрагента более внимательно.
Но подождите, скажет начинающий предприниматель, деньги мои, налоги я заплатил, как хочу – так и трачу. А вот и нет. Точнее то деньги ваши, а вот банку, кроме этого, нужна еще и прозрачность.
Поэтому сразу начните платить налоги и взносы в выбранном банке поквартально, чтобы банк видел вашу налоговую нагрузку и не задавал вопросов.
Далее, садимся и крепко чешем репку на предмет платежей в рамках обеспечения деятельности бизнеса. Понятно, что ИП сейчас может работать полностью удаленно из дома, но пойди объясни это банку.
Поэтому оплачиваем с расчетного счета все что можно, даже если цена вопроса пара сотен рублей: заправка картриджа, канцтовары (пусть и ребенку в школу), ЭДО, электронная отчетность. Главное – такие платежи должны быть регулярными.
Если вы арендуете какие-то хостинги, домены, сервера и т.д. – тоже подумайте вариант оплаты их со счета ИП, у большинства вменяемых хостеров цена от статуса клиента не зависит.
Т.е. со стороны банка вы не должны выглядеть черной дырой, куда сливаются деньги и потом выводятся в неизвестном направлении.
Наличка – забудьте это слово как страшный сон, равно как и перевод собственных денег в другой банк. Многие банки ставят это на одну ступень с обналичиванием.
Оптимальный вариант – это открыть карту физического лица в том же банке, где вы открыли расчетный счет и переводить полученные деньги на нее, плюс — это быстрее, выгоднее и удобнее.
Далее можете использовать эту карту самым обычным образом, когда банк видит, что вы тратите выведенные деньги на Пятерочки, такси, кофе и Красное и Белое – вопросов к вам не возникает. Плюс гораздо мягче становятся лимиты.
Также вы можете переводить определенные суммы лицам, являющимся вашими ближайшими родственниками, даже в другой банк. Тут тоже вопросов нет. Но не забываем про лимит.
А вот чего следует избегать – так это переводов физлицам, включая переводы по СБП. Нет, переводить вы можете, но в пределах разумного, пара тысяч рублей никого не смутит. Но если на такие переводы приходится заметная часть оборота, то будут вопросы.
Еще одна большая ошибка, это практически моментальный транзит средств. Если он становится регулярным – ждите вопросов.
Т.е. когда деньги на счет пришли и в течении этого же операционного дня полностью ушли.
Помните, что деньги на расчетном счете – это такие же ваши деньги, как и на карте и никуда они от вас не денутся, поэтому не нужно сразу же выводить его в ноль. Пусть лежат. Так и вам спокойнее и банку.
Объем заметки не позволяет продолжить, поэтому сами банки и особенности работы с ними оставим для следующей части.
👍41👎4❤1
❗️Cтаньте мастером безопасного деплоя в Kubernetes и начните эффективно управлять секретами с помощью Helm
Отус приглашает 25 июля в 20:00 мск на бесплатный вебинар "Эффективное управление секретами в Kubernetes с Helm".
Вебинар является бесплатной частью полноценного онлайн-курса «Инфраструктурная платформа на основе Kubernetes».
➡️ Регистрация на вебинар: https://otus.pw/XYTk/?erid=LjN8KQadq
✨ На вебинаре вы научитесь основам Helm, узнайте, как хранить и управлять секретами в Kubernetes, овладеете методами шифрования переменных и их интеграции с Helm.
🎙️Спикер Михаил Чугунов — ведущий DevOps-инженер.
Записывайтесь сейчас, а мы потом напомним. Участие бесплатно.
Отус приглашает 25 июля в 20:00 мск на бесплатный вебинар "Эффективное управление секретами в Kubernetes с Helm".
Вебинар является бесплатной частью полноценного онлайн-курса «Инфраструктурная платформа на основе Kubernetes».
➡️ Регистрация на вебинар: https://otus.pw/XYTk/?erid=LjN8KQadq
✨ На вебинаре вы научитесь основам Helm, узнайте, как хранить и управлять секретами в Kubernetes, овладеете методами шифрования переменных и их интеграции с Helm.
🎙️Спикер Михаил Чугунов — ведущий DevOps-инженер.
Записывайтесь сейчас, а мы потом напомним. Участие бесплатно.
👍2👎2🤡1
Настройка сети в гипервизоре задача на первый взгляд простая, да не совсем, так как постоянно вызывает различные вопросы.
Подборка наших статей по двум популярным гипервизорам. Статьи не новые, но и там ничего не изменилось.
🔹 Настраиваем сеть в Proxmox Virtual Environment
🔹 Настраиваем сеть NAT в Hyper-V
🔹 Настраиваем сеть в Hyper-V
Подборка наших статей по двум популярным гипервизорам. Статьи не новые, но и там ничего не изменилось.
🔹 Настраиваем сеть в Proxmox Virtual Environment
🔹 Настраиваем сеть NAT в Hyper-V
🔹 Настраиваем сеть в Hyper-V
👍25🔥8⚡1
Далеко не первый раз сталкиваемся с тем, что начинающие Linux админы поднимают для обмена файлами на Linux-узлах Samba.
Занятие это - примерно как троллейбус из буханки хлеба. Можно, но зачем?
Для этого быстрее и проще использовать NFS
🔹 Настраиваем сетевую файловую систему NFS в Debian и Ubuntu
Тут могут сказать, мол NFS - старый, небезопасный. Ну как будто Samba кто-то настраивает на безопасность, чаще наоборот. Сделали шару всё всем можно - и радуемся.
Кстати, если надо прицепить к такой шаре Windows-хост, то это тоже можно сделать. Начиная с Windows 10 1607 NFS-клиент поддерживается из коробки.
🔹 Устанавливаем и настраиваем NFS-клиент в Windows
Так что смело осваиваем новые для вас, но родные для Linux технологии.
Занятие это - примерно как троллейбус из буханки хлеба. Можно, но зачем?
Для этого быстрее и проще использовать NFS
🔹 Настраиваем сетевую файловую систему NFS в Debian и Ubuntu
Тут могут сказать, мол NFS - старый, небезопасный. Ну как будто Samba кто-то настраивает на безопасность, чаще наоборот. Сделали шару всё всем можно - и радуемся.
Кстати, если надо прицепить к такой шаре Windows-хост, то это тоже можно сделать. Начиная с Windows 10 1607 NFS-клиент поддерживается из коробки.
🔹 Устанавливаем и настраиваем NFS-клиент в Windows
Так что смело осваиваем новые для вас, но родные для Linux технологии.
👍46❤1
VLAN для начинающих. Общие вопросы
Виртуализацией сегодня уже никого не удивить. Эта технология прочно вошла в нашу жизнь и помогает более эффективно использовать имеющиеся ресурсы, а также обеспечивает достаточную гибкость в изменении существующей конфигурации, позволяя перераспределять ресурсы буквально налету.
Не обошла виртуализация и локальные сети. Технология VLAN (Virtual Local Area Network) позволяет создавать и гибко конфигурировать виртуальные сети поверх физической.
Это позволяет реализовывать достаточно сложные сетевые конфигурации без покупки дополнительного оборудования и прокладки дополнительных кабелей.
https://interface31.ru/tech_it/2020/10/vlan-dlya-nachinayushhih-obshhie-voprosy.html
Виртуализацией сегодня уже никого не удивить. Эта технология прочно вошла в нашу жизнь и помогает более эффективно использовать имеющиеся ресурсы, а также обеспечивает достаточную гибкость в изменении существующей конфигурации, позволяя перераспределять ресурсы буквально налету.
Не обошла виртуализация и локальные сети. Технология VLAN (Virtual Local Area Network) позволяет создавать и гибко конфигурировать виртуальные сети поверх физической.
Это позволяет реализовывать достаточно сложные сетевые конфигурации без покупки дополнительного оборудования и прокладки дополнительных кабелей.
https://interface31.ru/tech_it/2020/10/vlan-dlya-nachinayushhih-obshhie-voprosy.html
👍51
И снова вопросы без ответов…
На тему Касперского мы писали уже не раз за последние месяцы, точнее о его своенравном поведении, когда этот продукт для обеспечения безопасности превращается в продукт по генерированию проблем.
Причем проблем весьма и весьма трудно диагностируемых, так как сам антивирус, запуская в защищенный трафик (и не только) свои длинные лапки молчит об этом как пленный партизан, и чтобы понять, что к чему приходится очень долго разбираться.
Или не очень, если есть уже такой негативный опыт, в этом случае Касперский сразу выключается и… снова все становится хорошо.
Можно ли как-то настроить Касперского? Конечно можно, но процесс этот, достаточно тонкий и кропотливый, так как, еще раз повторимся, сам антивирус настойчиво не желает посвящать пользователя в тонкости своей работы.
Еще хуже то, что никто не мешает мобильному пользователю с собственным устройством поставить на него ту же бесплатную версию Касперского и обнаружить что сломалась вся отчетность, все доступы к ЛК Налоговой и т.д. и т.п. где-нибудь в командировке.
Мы уже писали про то, как Касперский тихо ломал доступ в веб-интерфейс Proxmox, к серверной 1С, а сегодня могли бы написать как он сломал доступ к ЛК Налоговой, 1С Отчетности и работе с ЭЦП из 1С:Предприятие.
Но сегодня хочется поговорить про другое. Касперский – ведущий отечественный производитель защитных решений. И если раньше можно было говорить о международном характере бизнеса Касперского, то сегодня с помощью санкций западный рынок для него закрыт.
1С – ведущий отечественный разработчик учетных систем. ЛК Налоговой – это вообще ресурсы государственных органов. Крипто-Про – стандарт отечественной криптографии.
Перечислять и далее можно долго. Но общий смысл сводится к тому, что неужели трудно заранее создать профили для нормальной работы отечественного ПО и сервисов вместе с продуктами Касперского?
Ну или просто создать готовый пресет настроек, который бы можно было быстро применить, например, во время установки или регистрации продукта если страной выбрана РФ.
Это сразу бы сняло кучу вопросов и негатива со стороны как пользователей, так и администраторов. А местами первая линия поддержки уже прямо советует удалить Касперского.
Ну действительно, это так сложно? Учитывая что основной для Касперского именно российский рынок и это теперь надолго.
На тему Касперского мы писали уже не раз за последние месяцы, точнее о его своенравном поведении, когда этот продукт для обеспечения безопасности превращается в продукт по генерированию проблем.
Причем проблем весьма и весьма трудно диагностируемых, так как сам антивирус, запуская в защищенный трафик (и не только) свои длинные лапки молчит об этом как пленный партизан, и чтобы понять, что к чему приходится очень долго разбираться.
Или не очень, если есть уже такой негативный опыт, в этом случае Касперский сразу выключается и… снова все становится хорошо.
Можно ли как-то настроить Касперского? Конечно можно, но процесс этот, достаточно тонкий и кропотливый, так как, еще раз повторимся, сам антивирус настойчиво не желает посвящать пользователя в тонкости своей работы.
Еще хуже то, что никто не мешает мобильному пользователю с собственным устройством поставить на него ту же бесплатную версию Касперского и обнаружить что сломалась вся отчетность, все доступы к ЛК Налоговой и т.д. и т.п. где-нибудь в командировке.
Мы уже писали про то, как Касперский тихо ломал доступ в веб-интерфейс Proxmox, к серверной 1С, а сегодня могли бы написать как он сломал доступ к ЛК Налоговой, 1С Отчетности и работе с ЭЦП из 1С:Предприятие.
Но сегодня хочется поговорить про другое. Касперский – ведущий отечественный производитель защитных решений. И если раньше можно было говорить о международном характере бизнеса Касперского, то сегодня с помощью санкций западный рынок для него закрыт.
1С – ведущий отечественный разработчик учетных систем. ЛК Налоговой – это вообще ресурсы государственных органов. Крипто-Про – стандарт отечественной криптографии.
Перечислять и далее можно долго. Но общий смысл сводится к тому, что неужели трудно заранее создать профили для нормальной работы отечественного ПО и сервисов вместе с продуктами Касперского?
Ну или просто создать готовый пресет настроек, который бы можно было быстро применить, например, во время установки или регистрации продукта если страной выбрана РФ.
Это сразу бы сняло кучу вопросов и негатива со стороны как пользователей, так и администраторов. А местами первая линия поддержки уже прямо советует удалить Касперского.
Ну действительно, это так сложно? Учитывая что основной для Касперского именно российский рынок и это теперь надолго.
💯59👍16👎5❤1🤣1
Брандмауэр Windows – интересный парадокс
Брандмауэр Windows – впервые появился в Windows XP SP2 и работал тогда только с входящими соединениями. А современный вид приобрел с выходом Windows Vista, т.е. тоже довольно давно.
Его появление – было мерой вынужденной, потому что именно на эпоху XP пришлось развитие сетей и широкополосного интернета, а также первые сетевые эпидемии, от которых не спасал антивирус. Многие старожилы должны помнить тот же MS Blast.
Цель появления штатного брандмауэра не преследовала каких-то космических целей, нужен был простой и эффективный сетевой фильтр для отдельно стоящего узла, способный просто прикрыть от внешнего доступа все лишнее.
И в целом это получилось, брандмауэр Windows – достаточно неплохой инструмент, позволяющий закрыть из коробки все лишнее, но при этом не сильно мешая пользователю пользоваться той же сетью и интернетом.
А учитывая его возраст можно сказать, что продукт достаточно старый и проверенный временем…
Но так сказать нельзя. Вокруг брандмауэра Windows сложился интересный парадокс. Часть пользователей, включая наших коллег-администраторов его полностью отрицают, сразу выключая и даже останавливая службу.
Другая часть вроде бы даже и использует, во всяком случае умеет добавлять разрешающие правила или изменять существующие.
Но стоит копнуть глубже и выясняется, что практически никто не знает, как работает брандмауэр Windows, каким образом формируются правила, как они должны быть расположены и каким образом комбинируются друг с другом.
И это только в части входящих соединений, если взять исходящие, то там вообще полный мрак, включая непонимание даже стандартных правил, которые на первый взгляд кажутся бессмысленными и избыточными.
И это для продукта, которому в этом году исполняется 20 лет и который есть на каждом компьютере под управлением Windows.
А еще это анонс нового материала на нашем сайте, где мы как-раз рассмотрим все особенности брандмауэра Windows – как он работает, как нужно составлять правила, как они сочетаются друг с другом и почему надо делать так, а не иначе.
Брандмауэр Windows – впервые появился в Windows XP SP2 и работал тогда только с входящими соединениями. А современный вид приобрел с выходом Windows Vista, т.е. тоже довольно давно.
Его появление – было мерой вынужденной, потому что именно на эпоху XP пришлось развитие сетей и широкополосного интернета, а также первые сетевые эпидемии, от которых не спасал антивирус. Многие старожилы должны помнить тот же MS Blast.
Цель появления штатного брандмауэра не преследовала каких-то космических целей, нужен был простой и эффективный сетевой фильтр для отдельно стоящего узла, способный просто прикрыть от внешнего доступа все лишнее.
И в целом это получилось, брандмауэр Windows – достаточно неплохой инструмент, позволяющий закрыть из коробки все лишнее, но при этом не сильно мешая пользователю пользоваться той же сетью и интернетом.
А учитывая его возраст можно сказать, что продукт достаточно старый и проверенный временем…
Но так сказать нельзя. Вокруг брандмауэра Windows сложился интересный парадокс. Часть пользователей, включая наших коллег-администраторов его полностью отрицают, сразу выключая и даже останавливая службу.
Другая часть вроде бы даже и использует, во всяком случае умеет добавлять разрешающие правила или изменять существующие.
Но стоит копнуть глубже и выясняется, что практически никто не знает, как работает брандмауэр Windows, каким образом формируются правила, как они должны быть расположены и каким образом комбинируются друг с другом.
И это только в части входящих соединений, если взять исходящие, то там вообще полный мрак, включая непонимание даже стандартных правил, которые на первый взгляд кажутся бессмысленными и избыточными.
И это для продукта, которому в этом году исполняется 20 лет и который есть на каждом компьютере под управлением Windows.
А еще это анонс нового материала на нашем сайте, где мы как-раз рассмотрим все особенности брандмауэра Windows – как он работает, как нужно составлять правила, как они сочетаются друг с другом и почему надо делать так, а не иначе.
👍59⚡4❤3🔥3👌2
Знаете ли вы, как работает брандмауэр Windows (режимы работы, формирование правил, их взаимодействие между собой и т.д. и т.п.)?
Anonymous Poll
7%
Да, знаю
19%
Думаю, что знаю
26%
Что-то знаю, но это не точно
14%
Ну правила писать могу
9%
Скорее не знаю
12%
Не знаю, но хочу знать
4%
Не знаю и не хочу знать
3%
Брандмауэр Windows должен быть отключен
2%
Я "блесну юмором" и напишу про Linux и iptables
4%
Ничего не понятно, но очень интересно
👍15🤡1
erid: LjN8Kax8U
Контур.Толк — онлайн-общение нового поколения!
Все функции для удобных созвонов и мероприятий в одном месте.
В Толке вы найдете как базовые, так и уникальные возможности: трансляция в сторонние сервисы, текстовая расшифровка записей, система единого входа, корпоративные фоны, шумоподавление, брендированные ссылки и многое другое.
Общение станет не только комфортнее, но и функциональнее за счет одного современного решения.
В телеграм-канале рассказываем про фишки сервиса и показываем созвоны такими, какими вы их не видели — присоединяйтесь: https://t.iss.one/+OVLP8bOp2_wzMjky
Реклама. АО "ПФ "СКБ КОНТУР". ИНН 6663003127.
Контур.Толк — онлайн-общение нового поколения!
Все функции для удобных созвонов и мероприятий в одном месте.
В Толке вы найдете как базовые, так и уникальные возможности: трансляция в сторонние сервисы, текстовая расшифровка записей, система единого входа, корпоративные фоны, шумоподавление, брендированные ссылки и многое другое.
Общение станет не только комфортнее, но и функциональнее за счет одного современного решения.
В телеграм-канале рассказываем про фишки сервиса и показываем созвоны такими, какими вы их не видели — присоединяйтесь: https://t.iss.one/+OVLP8bOp2_wzMjky
Реклама. АО "ПФ "СКБ КОНТУР". ИНН 6663003127.
Очистка метаданных контроллера домена в Active Directory
Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам.
Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.
https://interface31.ru/tech_it/2020/06/ochistka-metadannyh-kontrollera-domena-v-active-directory.html
Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам.
Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.
https://interface31.ru/tech_it/2020/06/ochistka-metadannyh-kontrollera-domena-v-active-directory.html
👍22
Безопасность через неизвестность
Вчера, в комментариях к заметке о брандмауэре Windows спрашивали зачем он по умолчанию блокирует пинги.
Поэтому сегодня поговорим об одном из методов обеспечения безопасности, который называется «безопасность через неизвестность».
Но перед тем, как говорить о безопасности напомним некоторые простые тезисы. Любая система может быть взломана, решающий фактор – цена вопроса, если она превышает потенциальный профит от взлома – никто такую систему ломать не будет.
Аналогично и в обратную сторону – безопасность любой системы можно поднять до любого желаемого уровня. И снова все упирается в цену вопроса, если затраты на обеспечение безопасности превышают сумму всех возможных убытков, то такая безопасность не нужна.
Поэтому любая безопасность должна соответствовать адекватным угрозам. В современных публичных сетях это боты и прочие автоматизированные средства. Несколько ранее – разного рода черви и т.п. вредоносный софт.
Именно для них, а еще для членов кружка «Колхозный хакер» при сельском клубе и предназначена «безопасность через неизвестность».
Основной смысл данного метода в сокрытии или искажении информации о вашей системе. Не отвечать на пинг – это одна из реализаций этого метода. Также сюда относятся сокрытия версий ПО или их искажение, если сервис публичный.
Это позволяет избежать атак на известные наборы уязвимостей, когда тот же бот выясняет тип и версию ПО, а потом начинает пробовать применять все известные для данной версии уязвимости и эксплойты.
Понятно, что от человека это поможет не сильно, но мы и не предполагаем в данном случае целенаправленной атаки человеком.
Также и с пингами. Это самый простой и известный способ проверить доступность узла, также это самый простой способ выяснить какие узлы в сети включены и активны. Причем не привлекая к себе излишнего внимания.
Поэтому запрет пингов по умолчанию – это хороший способ обеспечить безопасность через неизвестность для локальной сети. При этом мы опять не подразумеваем пристального человеческого интереса – человек найдет способ узнать, что ему надо, а вот против ботов, червей и прочего «хакерского» софта поможет просто и эффективно.
Также это хороший способ избежать пристального чужого внимания в публичных сетях, мало ли кто там что запускает.
Поэтому запрет пингов (и остального входящего ICMP) по умолчанию выглядит достаточно разумным и помогающим обеспечивать базовый уровень безопасности. А кому надо – тот включит, с полным пониманием того, что он делает и зачем.
Вчера, в комментариях к заметке о брандмауэре Windows спрашивали зачем он по умолчанию блокирует пинги.
Поэтому сегодня поговорим об одном из методов обеспечения безопасности, который называется «безопасность через неизвестность».
Но перед тем, как говорить о безопасности напомним некоторые простые тезисы. Любая система может быть взломана, решающий фактор – цена вопроса, если она превышает потенциальный профит от взлома – никто такую систему ломать не будет.
Аналогично и в обратную сторону – безопасность любой системы можно поднять до любого желаемого уровня. И снова все упирается в цену вопроса, если затраты на обеспечение безопасности превышают сумму всех возможных убытков, то такая безопасность не нужна.
Поэтому любая безопасность должна соответствовать адекватным угрозам. В современных публичных сетях это боты и прочие автоматизированные средства. Несколько ранее – разного рода черви и т.п. вредоносный софт.
Именно для них, а еще для членов кружка «Колхозный хакер» при сельском клубе и предназначена «безопасность через неизвестность».
Основной смысл данного метода в сокрытии или искажении информации о вашей системе. Не отвечать на пинг – это одна из реализаций этого метода. Также сюда относятся сокрытия версий ПО или их искажение, если сервис публичный.
Это позволяет избежать атак на известные наборы уязвимостей, когда тот же бот выясняет тип и версию ПО, а потом начинает пробовать применять все известные для данной версии уязвимости и эксплойты.
Понятно, что от человека это поможет не сильно, но мы и не предполагаем в данном случае целенаправленной атаки человеком.
Также и с пингами. Это самый простой и известный способ проверить доступность узла, также это самый простой способ выяснить какие узлы в сети включены и активны. Причем не привлекая к себе излишнего внимания.
Поэтому запрет пингов по умолчанию – это хороший способ обеспечить безопасность через неизвестность для локальной сети. При этом мы опять не подразумеваем пристального человеческого интереса – человек найдет способ узнать, что ему надо, а вот против ботов, червей и прочего «хакерского» софта поможет просто и эффективно.
Также это хороший способ избежать пристального чужого внимания в публичных сетях, мало ли кто там что запускает.
Поэтому запрет пингов (и остального входящего ICMP) по умолчанию выглядит достаточно разумным и помогающим обеспечивать базовый уровень безопасности. А кому надо – тот включит, с полным пониманием того, что он делает и зачем.
👍35❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Как проходят будни в российской ИТ-компании?
В GAGAR>N мы рассказываем не только о технологиях, но и о том, как это — разрабатывать ПО и серверы в России 🧐
Подписывайся на канал компании и смотри на типичные дни инженеров в нашем офисе 🔝
erid: LjN8Jyyv5
В GAGAR>N мы рассказываем не только о технологиях, но и о том, как это — разрабатывать ПО и серверы в России 🧐
Подписывайся на канал компании и смотри на типичные дни инженеров в нашем офисе 🔝
erid: LjN8Jyyv5
🤡5😁2❤1👍1
Продление сертификата
В IT существуют и активно используются множество терминов, которые либо неверно отражают суть происходящих процессов, либо являются неудачным переводом зарубежных терминов.
Один из таких терминов – это широко используемое «продление» сертификата, которое вводит в ступор многих начинающих, которые изучив документацию к собственному CA не находят там такой функции.
И не найдут, потому что у сертификата нет такой функции – продлить. Почему нет? Да потому что не предусмотрена.
Что такое сертификат? Это еще один пример не лучшего использования термина, но из песни, как говорится, слов не выкинешь.
Говоря сертификат чаще всего, подразумевается ключевая пара: закрытый и открытый ключ. Сертификат – это открытый ключ плюс некоторая дополнительная информация о владельце, которые подписаны ключом CA, что позволяет убедиться в их подлинности.
Закрытый ключ является секретным, а сертификат – публичным. С его помощью наши контрагенты могут убедиться, что мы – это действительно те, за кого себя выдаем или проверить подлинность нашей электронной подписи, начать защищенный сеанс связи с нами и т.д. и т.п.
Поэтому важной частью сертификата является его владелец (юридическое или физическое лицо, доменное имя или сетевой узел), который указан в поле Common Name (CN).
В настоящий момент это поле считается устаревшим и для размещения данных о владельце сертификата используется поле Subject Alternative Name (SAN), которое может содержать сразу несколько значений. Это может быть как несколько доменных имен, так и доменные имена вместе с IP-адресами, что позволяет защищать объекты с разным набором доступных имен и разными вариантами обращений.
При этом поле Common Name продолжает поддерживаться для сохранения обратной совместимости и там принято указывать «основное» имя владельца.
Кроме владельца сертификат имеет срок действия. Причем это не срок действия самого сертификата, это срок действия ключевой пары.
Почему нельзя сделать сертификат бессрочным? Можно, но крайне нежелательно с точки зрения безопасности. Ключ может быть потерян, утрачен, скомпрометирован и т.д. и т.п. Причем владелец об этом может и не знать. Поэтому короткий срок действия ключа снижает такие риски.
А также повышает доверие к такому ключу, так как говорит о том, что CA довольно регулярно проверяет владельца этого ключа и доверяет ему.
Так как же продлить сертификат с закончившимся сроком действия? Никак. Он закончился и никакой волшебной силы, способной продлить срок его жизни, сохранив ему доверие, не существует.
Что нужно сделать? Выпустить новый сертификат (читай ключевую пару) для тех же самых значений CN и SAN. Таким образом сертификат будет новый, но владелец старый и все, кто доверял ему продолжат это делать.
Таким образом следует крепко запомнить – никакой операции «продления» сертификата не было, нет и никогда не будет. Можно только выпустить новый сертификат для прежнего владельца.
Так откуда же пошел этот странный термин? Наше мнение – из маркетинга. Когда клиенту, получившему коммерческий сертификат и обратившемуся повторно для его перевыпуска делали скидку.
Отсюда и придумали термин «продление», чтобы отличать от обычного «выпуска». А потом пошло-поехало. Вот такой вот маркетинг, бессмысленный и беспощадный.
В IT существуют и активно используются множество терминов, которые либо неверно отражают суть происходящих процессов, либо являются неудачным переводом зарубежных терминов.
Один из таких терминов – это широко используемое «продление» сертификата, которое вводит в ступор многих начинающих, которые изучив документацию к собственному CA не находят там такой функции.
И не найдут, потому что у сертификата нет такой функции – продлить. Почему нет? Да потому что не предусмотрена.
Что такое сертификат? Это еще один пример не лучшего использования термина, но из песни, как говорится, слов не выкинешь.
Говоря сертификат чаще всего, подразумевается ключевая пара: закрытый и открытый ключ. Сертификат – это открытый ключ плюс некоторая дополнительная информация о владельце, которые подписаны ключом CA, что позволяет убедиться в их подлинности.
Закрытый ключ является секретным, а сертификат – публичным. С его помощью наши контрагенты могут убедиться, что мы – это действительно те, за кого себя выдаем или проверить подлинность нашей электронной подписи, начать защищенный сеанс связи с нами и т.д. и т.п.
Поэтому важной частью сертификата является его владелец (юридическое или физическое лицо, доменное имя или сетевой узел), который указан в поле Common Name (CN).
В настоящий момент это поле считается устаревшим и для размещения данных о владельце сертификата используется поле Subject Alternative Name (SAN), которое может содержать сразу несколько значений. Это может быть как несколько доменных имен, так и доменные имена вместе с IP-адресами, что позволяет защищать объекты с разным набором доступных имен и разными вариантами обращений.
При этом поле Common Name продолжает поддерживаться для сохранения обратной совместимости и там принято указывать «основное» имя владельца.
Кроме владельца сертификат имеет срок действия. Причем это не срок действия самого сертификата, это срок действия ключевой пары.
Почему нельзя сделать сертификат бессрочным? Можно, но крайне нежелательно с точки зрения безопасности. Ключ может быть потерян, утрачен, скомпрометирован и т.д. и т.п. Причем владелец об этом может и не знать. Поэтому короткий срок действия ключа снижает такие риски.
А также повышает доверие к такому ключу, так как говорит о том, что CA довольно регулярно проверяет владельца этого ключа и доверяет ему.
Так как же продлить сертификат с закончившимся сроком действия? Никак. Он закончился и никакой волшебной силы, способной продлить срок его жизни, сохранив ему доверие, не существует.
Что нужно сделать? Выпустить новый сертификат (читай ключевую пару) для тех же самых значений CN и SAN. Таким образом сертификат будет новый, но владелец старый и все, кто доверял ему продолжат это делать.
Таким образом следует крепко запомнить – никакой операции «продления» сертификата не было, нет и никогда не будет. Можно только выпустить новый сертификат для прежнего владельца.
Так откуда же пошел этот странный термин? Наше мнение – из маркетинга. Когда клиенту, получившему коммерческий сертификат и обратившемуся повторно для его перевыпуска делали скидку.
Отсюда и придумали термин «продление», чтобы отличать от обычного «выпуска». А потом пошло-поехало. Вот такой вот маркетинг, бессмысленный и беспощадный.
👍42👏9💯4⚡1
💎Открой для себя магию LVM: простой, но мощный инструмент для девопсов и сисадминов!
🔴 29 июля в 20:00 мск обязательно присоединяйся к нашему открытому вебинару, чтобы разгадать тайны LVM и освоить новые скиллы в мире серверной архитектуры!
На уроке мы создадим хранилище данных с использованием LVM, разберемся со снапшотами и изучим нестандартные применения этого мощного инструмента. Ты научишься пользоваться снапшотами и беззаботно переносить данные на другие диски, не тревожась за файлы и каталоги!
Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.
↪️ Регистрируйся бесплатно прямо сейчас: https://otus.pw/9V8v/
🔴 29 июля в 20:00 мск обязательно присоединяйся к нашему открытому вебинару, чтобы разгадать тайны LVM и освоить новые скиллы в мире серверной архитектуры!
На уроке мы создадим хранилище данных с использованием LVM, разберемся со снапшотами и изучим нестандартные применения этого мощного инструмента. Ты научишься пользоваться снапшотами и беззаботно переносить данные на другие диски, не тревожась за файлы и каталоги!
Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.
↪️ Регистрируйся бесплатно прямо сейчас: https://otus.pw/9V8v/
👍4👎2