И снова вопросы без ответов…
На тему Касперского мы писали уже не раз за последние месяцы, точнее о его своенравном поведении, когда этот продукт для обеспечения безопасности превращается в продукт по генерированию проблем.
Причем проблем весьма и весьма трудно диагностируемых, так как сам антивирус, запуская в защищенный трафик (и не только) свои длинные лапки молчит об этом как пленный партизан, и чтобы понять, что к чему приходится очень долго разбираться.
Или не очень, если есть уже такой негативный опыт, в этом случае Касперский сразу выключается и… снова все становится хорошо.
Можно ли как-то настроить Касперского? Конечно можно, но процесс этот, достаточно тонкий и кропотливый, так как, еще раз повторимся, сам антивирус настойчиво не желает посвящать пользователя в тонкости своей работы.
Еще хуже то, что никто не мешает мобильному пользователю с собственным устройством поставить на него ту же бесплатную версию Касперского и обнаружить что сломалась вся отчетность, все доступы к ЛК Налоговой и т.д. и т.п. где-нибудь в командировке.
Мы уже писали про то, как Касперский тихо ломал доступ в веб-интерфейс Proxmox, к серверной 1С, а сегодня могли бы написать как он сломал доступ к ЛК Налоговой, 1С Отчетности и работе с ЭЦП из 1С:Предприятие.
Но сегодня хочется поговорить про другое. Касперский – ведущий отечественный производитель защитных решений. И если раньше можно было говорить о международном характере бизнеса Касперского, то сегодня с помощью санкций западный рынок для него закрыт.
1С – ведущий отечественный разработчик учетных систем. ЛК Налоговой – это вообще ресурсы государственных органов. Крипто-Про – стандарт отечественной криптографии.
Перечислять и далее можно долго. Но общий смысл сводится к тому, что неужели трудно заранее создать профили для нормальной работы отечественного ПО и сервисов вместе с продуктами Касперского?
Ну или просто создать готовый пресет настроек, который бы можно было быстро применить, например, во время установки или регистрации продукта если страной выбрана РФ.
Это сразу бы сняло кучу вопросов и негатива со стороны как пользователей, так и администраторов. А местами первая линия поддержки уже прямо советует удалить Касперского.
Ну действительно, это так сложно? Учитывая что основной для Касперского именно российский рынок и это теперь надолго.
На тему Касперского мы писали уже не раз за последние месяцы, точнее о его своенравном поведении, когда этот продукт для обеспечения безопасности превращается в продукт по генерированию проблем.
Причем проблем весьма и весьма трудно диагностируемых, так как сам антивирус, запуская в защищенный трафик (и не только) свои длинные лапки молчит об этом как пленный партизан, и чтобы понять, что к чему приходится очень долго разбираться.
Или не очень, если есть уже такой негативный опыт, в этом случае Касперский сразу выключается и… снова все становится хорошо.
Можно ли как-то настроить Касперского? Конечно можно, но процесс этот, достаточно тонкий и кропотливый, так как, еще раз повторимся, сам антивирус настойчиво не желает посвящать пользователя в тонкости своей работы.
Еще хуже то, что никто не мешает мобильному пользователю с собственным устройством поставить на него ту же бесплатную версию Касперского и обнаружить что сломалась вся отчетность, все доступы к ЛК Налоговой и т.д. и т.п. где-нибудь в командировке.
Мы уже писали про то, как Касперский тихо ломал доступ в веб-интерфейс Proxmox, к серверной 1С, а сегодня могли бы написать как он сломал доступ к ЛК Налоговой, 1С Отчетности и работе с ЭЦП из 1С:Предприятие.
Но сегодня хочется поговорить про другое. Касперский – ведущий отечественный производитель защитных решений. И если раньше можно было говорить о международном характере бизнеса Касперского, то сегодня с помощью санкций западный рынок для него закрыт.
1С – ведущий отечественный разработчик учетных систем. ЛК Налоговой – это вообще ресурсы государственных органов. Крипто-Про – стандарт отечественной криптографии.
Перечислять и далее можно долго. Но общий смысл сводится к тому, что неужели трудно заранее создать профили для нормальной работы отечественного ПО и сервисов вместе с продуктами Касперского?
Ну или просто создать готовый пресет настроек, который бы можно было быстро применить, например, во время установки или регистрации продукта если страной выбрана РФ.
Это сразу бы сняло кучу вопросов и негатива со стороны как пользователей, так и администраторов. А местами первая линия поддержки уже прямо советует удалить Касперского.
Ну действительно, это так сложно? Учитывая что основной для Касперского именно российский рынок и это теперь надолго.
💯59👍16👎5❤1🤣1
Брандмауэр Windows – интересный парадокс
Брандмауэр Windows – впервые появился в Windows XP SP2 и работал тогда только с входящими соединениями. А современный вид приобрел с выходом Windows Vista, т.е. тоже довольно давно.
Его появление – было мерой вынужденной, потому что именно на эпоху XP пришлось развитие сетей и широкополосного интернета, а также первые сетевые эпидемии, от которых не спасал антивирус. Многие старожилы должны помнить тот же MS Blast.
Цель появления штатного брандмауэра не преследовала каких-то космических целей, нужен был простой и эффективный сетевой фильтр для отдельно стоящего узла, способный просто прикрыть от внешнего доступа все лишнее.
И в целом это получилось, брандмауэр Windows – достаточно неплохой инструмент, позволяющий закрыть из коробки все лишнее, но при этом не сильно мешая пользователю пользоваться той же сетью и интернетом.
А учитывая его возраст можно сказать, что продукт достаточно старый и проверенный временем…
Но так сказать нельзя. Вокруг брандмауэра Windows сложился интересный парадокс. Часть пользователей, включая наших коллег-администраторов его полностью отрицают, сразу выключая и даже останавливая службу.
Другая часть вроде бы даже и использует, во всяком случае умеет добавлять разрешающие правила или изменять существующие.
Но стоит копнуть глубже и выясняется, что практически никто не знает, как работает брандмауэр Windows, каким образом формируются правила, как они должны быть расположены и каким образом комбинируются друг с другом.
И это только в части входящих соединений, если взять исходящие, то там вообще полный мрак, включая непонимание даже стандартных правил, которые на первый взгляд кажутся бессмысленными и избыточными.
И это для продукта, которому в этом году исполняется 20 лет и который есть на каждом компьютере под управлением Windows.
А еще это анонс нового материала на нашем сайте, где мы как-раз рассмотрим все особенности брандмауэра Windows – как он работает, как нужно составлять правила, как они сочетаются друг с другом и почему надо делать так, а не иначе.
Брандмауэр Windows – впервые появился в Windows XP SP2 и работал тогда только с входящими соединениями. А современный вид приобрел с выходом Windows Vista, т.е. тоже довольно давно.
Его появление – было мерой вынужденной, потому что именно на эпоху XP пришлось развитие сетей и широкополосного интернета, а также первые сетевые эпидемии, от которых не спасал антивирус. Многие старожилы должны помнить тот же MS Blast.
Цель появления штатного брандмауэра не преследовала каких-то космических целей, нужен был простой и эффективный сетевой фильтр для отдельно стоящего узла, способный просто прикрыть от внешнего доступа все лишнее.
И в целом это получилось, брандмауэр Windows – достаточно неплохой инструмент, позволяющий закрыть из коробки все лишнее, но при этом не сильно мешая пользователю пользоваться той же сетью и интернетом.
А учитывая его возраст можно сказать, что продукт достаточно старый и проверенный временем…
Но так сказать нельзя. Вокруг брандмауэра Windows сложился интересный парадокс. Часть пользователей, включая наших коллег-администраторов его полностью отрицают, сразу выключая и даже останавливая службу.
Другая часть вроде бы даже и использует, во всяком случае умеет добавлять разрешающие правила или изменять существующие.
Но стоит копнуть глубже и выясняется, что практически никто не знает, как работает брандмауэр Windows, каким образом формируются правила, как они должны быть расположены и каким образом комбинируются друг с другом.
И это только в части входящих соединений, если взять исходящие, то там вообще полный мрак, включая непонимание даже стандартных правил, которые на первый взгляд кажутся бессмысленными и избыточными.
И это для продукта, которому в этом году исполняется 20 лет и который есть на каждом компьютере под управлением Windows.
А еще это анонс нового материала на нашем сайте, где мы как-раз рассмотрим все особенности брандмауэра Windows – как он работает, как нужно составлять правила, как они сочетаются друг с другом и почему надо делать так, а не иначе.
👍59⚡4❤3🔥3👌2
Знаете ли вы, как работает брандмауэр Windows (режимы работы, формирование правил, их взаимодействие между собой и т.д. и т.п.)?
Anonymous Poll
7%
Да, знаю
19%
Думаю, что знаю
26%
Что-то знаю, но это не точно
14%
Ну правила писать могу
9%
Скорее не знаю
12%
Не знаю, но хочу знать
4%
Не знаю и не хочу знать
3%
Брандмауэр Windows должен быть отключен
2%
Я "блесну юмором" и напишу про Linux и iptables
4%
Ничего не понятно, но очень интересно
👍15🤡1
erid: LjN8Kax8U
Контур.Толк — онлайн-общение нового поколения!
Все функции для удобных созвонов и мероприятий в одном месте.
В Толке вы найдете как базовые, так и уникальные возможности: трансляция в сторонние сервисы, текстовая расшифровка записей, система единого входа, корпоративные фоны, шумоподавление, брендированные ссылки и многое другое.
Общение станет не только комфортнее, но и функциональнее за счет одного современного решения.
В телеграм-канале рассказываем про фишки сервиса и показываем созвоны такими, какими вы их не видели — присоединяйтесь: https://t.iss.one/+OVLP8bOp2_wzMjky
Реклама. АО "ПФ "СКБ КОНТУР". ИНН 6663003127.
Контур.Толк — онлайн-общение нового поколения!
Все функции для удобных созвонов и мероприятий в одном месте.
В Толке вы найдете как базовые, так и уникальные возможности: трансляция в сторонние сервисы, текстовая расшифровка записей, система единого входа, корпоративные фоны, шумоподавление, брендированные ссылки и многое другое.
Общение станет не только комфортнее, но и функциональнее за счет одного современного решения.
В телеграм-канале рассказываем про фишки сервиса и показываем созвоны такими, какими вы их не видели — присоединяйтесь: https://t.iss.one/+OVLP8bOp2_wzMjky
Реклама. АО "ПФ "СКБ КОНТУР". ИНН 6663003127.
Очистка метаданных контроллера домена в Active Directory
Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам.
Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.
https://interface31.ru/tech_it/2020/06/ochistka-metadannyh-kontrollera-domena-v-active-directory.html
Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам.
Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.
https://interface31.ru/tech_it/2020/06/ochistka-metadannyh-kontrollera-domena-v-active-directory.html
👍22
Безопасность через неизвестность
Вчера, в комментариях к заметке о брандмауэре Windows спрашивали зачем он по умолчанию блокирует пинги.
Поэтому сегодня поговорим об одном из методов обеспечения безопасности, который называется «безопасность через неизвестность».
Но перед тем, как говорить о безопасности напомним некоторые простые тезисы. Любая система может быть взломана, решающий фактор – цена вопроса, если она превышает потенциальный профит от взлома – никто такую систему ломать не будет.
Аналогично и в обратную сторону – безопасность любой системы можно поднять до любого желаемого уровня. И снова все упирается в цену вопроса, если затраты на обеспечение безопасности превышают сумму всех возможных убытков, то такая безопасность не нужна.
Поэтому любая безопасность должна соответствовать адекватным угрозам. В современных публичных сетях это боты и прочие автоматизированные средства. Несколько ранее – разного рода черви и т.п. вредоносный софт.
Именно для них, а еще для членов кружка «Колхозный хакер» при сельском клубе и предназначена «безопасность через неизвестность».
Основной смысл данного метода в сокрытии или искажении информации о вашей системе. Не отвечать на пинг – это одна из реализаций этого метода. Также сюда относятся сокрытия версий ПО или их искажение, если сервис публичный.
Это позволяет избежать атак на известные наборы уязвимостей, когда тот же бот выясняет тип и версию ПО, а потом начинает пробовать применять все известные для данной версии уязвимости и эксплойты.
Понятно, что от человека это поможет не сильно, но мы и не предполагаем в данном случае целенаправленной атаки человеком.
Также и с пингами. Это самый простой и известный способ проверить доступность узла, также это самый простой способ выяснить какие узлы в сети включены и активны. Причем не привлекая к себе излишнего внимания.
Поэтому запрет пингов по умолчанию – это хороший способ обеспечить безопасность через неизвестность для локальной сети. При этом мы опять не подразумеваем пристального человеческого интереса – человек найдет способ узнать, что ему надо, а вот против ботов, червей и прочего «хакерского» софта поможет просто и эффективно.
Также это хороший способ избежать пристального чужого внимания в публичных сетях, мало ли кто там что запускает.
Поэтому запрет пингов (и остального входящего ICMP) по умолчанию выглядит достаточно разумным и помогающим обеспечивать базовый уровень безопасности. А кому надо – тот включит, с полным пониманием того, что он делает и зачем.
Вчера, в комментариях к заметке о брандмауэре Windows спрашивали зачем он по умолчанию блокирует пинги.
Поэтому сегодня поговорим об одном из методов обеспечения безопасности, который называется «безопасность через неизвестность».
Но перед тем, как говорить о безопасности напомним некоторые простые тезисы. Любая система может быть взломана, решающий фактор – цена вопроса, если она превышает потенциальный профит от взлома – никто такую систему ломать не будет.
Аналогично и в обратную сторону – безопасность любой системы можно поднять до любого желаемого уровня. И снова все упирается в цену вопроса, если затраты на обеспечение безопасности превышают сумму всех возможных убытков, то такая безопасность не нужна.
Поэтому любая безопасность должна соответствовать адекватным угрозам. В современных публичных сетях это боты и прочие автоматизированные средства. Несколько ранее – разного рода черви и т.п. вредоносный софт.
Именно для них, а еще для членов кружка «Колхозный хакер» при сельском клубе и предназначена «безопасность через неизвестность».
Основной смысл данного метода в сокрытии или искажении информации о вашей системе. Не отвечать на пинг – это одна из реализаций этого метода. Также сюда относятся сокрытия версий ПО или их искажение, если сервис публичный.
Это позволяет избежать атак на известные наборы уязвимостей, когда тот же бот выясняет тип и версию ПО, а потом начинает пробовать применять все известные для данной версии уязвимости и эксплойты.
Понятно, что от человека это поможет не сильно, но мы и не предполагаем в данном случае целенаправленной атаки человеком.
Также и с пингами. Это самый простой и известный способ проверить доступность узла, также это самый простой способ выяснить какие узлы в сети включены и активны. Причем не привлекая к себе излишнего внимания.
Поэтому запрет пингов по умолчанию – это хороший способ обеспечить безопасность через неизвестность для локальной сети. При этом мы опять не подразумеваем пристального человеческого интереса – человек найдет способ узнать, что ему надо, а вот против ботов, червей и прочего «хакерского» софта поможет просто и эффективно.
Также это хороший способ избежать пристального чужого внимания в публичных сетях, мало ли кто там что запускает.
Поэтому запрет пингов (и остального входящего ICMP) по умолчанию выглядит достаточно разумным и помогающим обеспечивать базовый уровень безопасности. А кому надо – тот включит, с полным пониманием того, что он делает и зачем.
👍35❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Как проходят будни в российской ИТ-компании?
В GAGAR>N мы рассказываем не только о технологиях, но и о том, как это — разрабатывать ПО и серверы в России 🧐
Подписывайся на канал компании и смотри на типичные дни инженеров в нашем офисе 🔝
erid: LjN8Jyyv5
В GAGAR>N мы рассказываем не только о технологиях, но и о том, как это — разрабатывать ПО и серверы в России 🧐
Подписывайся на канал компании и смотри на типичные дни инженеров в нашем офисе 🔝
erid: LjN8Jyyv5
🤡5😁2❤1👍1
Продление сертификата
В IT существуют и активно используются множество терминов, которые либо неверно отражают суть происходящих процессов, либо являются неудачным переводом зарубежных терминов.
Один из таких терминов – это широко используемое «продление» сертификата, которое вводит в ступор многих начинающих, которые изучив документацию к собственному CA не находят там такой функции.
И не найдут, потому что у сертификата нет такой функции – продлить. Почему нет? Да потому что не предусмотрена.
Что такое сертификат? Это еще один пример не лучшего использования термина, но из песни, как говорится, слов не выкинешь.
Говоря сертификат чаще всего, подразумевается ключевая пара: закрытый и открытый ключ. Сертификат – это открытый ключ плюс некоторая дополнительная информация о владельце, которые подписаны ключом CA, что позволяет убедиться в их подлинности.
Закрытый ключ является секретным, а сертификат – публичным. С его помощью наши контрагенты могут убедиться, что мы – это действительно те, за кого себя выдаем или проверить подлинность нашей электронной подписи, начать защищенный сеанс связи с нами и т.д. и т.п.
Поэтому важной частью сертификата является его владелец (юридическое или физическое лицо, доменное имя или сетевой узел), который указан в поле Common Name (CN).
В настоящий момент это поле считается устаревшим и для размещения данных о владельце сертификата используется поле Subject Alternative Name (SAN), которое может содержать сразу несколько значений. Это может быть как несколько доменных имен, так и доменные имена вместе с IP-адресами, что позволяет защищать объекты с разным набором доступных имен и разными вариантами обращений.
При этом поле Common Name продолжает поддерживаться для сохранения обратной совместимости и там принято указывать «основное» имя владельца.
Кроме владельца сертификат имеет срок действия. Причем это не срок действия самого сертификата, это срок действия ключевой пары.
Почему нельзя сделать сертификат бессрочным? Можно, но крайне нежелательно с точки зрения безопасности. Ключ может быть потерян, утрачен, скомпрометирован и т.д. и т.п. Причем владелец об этом может и не знать. Поэтому короткий срок действия ключа снижает такие риски.
А также повышает доверие к такому ключу, так как говорит о том, что CA довольно регулярно проверяет владельца этого ключа и доверяет ему.
Так как же продлить сертификат с закончившимся сроком действия? Никак. Он закончился и никакой волшебной силы, способной продлить срок его жизни, сохранив ему доверие, не существует.
Что нужно сделать? Выпустить новый сертификат (читай ключевую пару) для тех же самых значений CN и SAN. Таким образом сертификат будет новый, но владелец старый и все, кто доверял ему продолжат это делать.
Таким образом следует крепко запомнить – никакой операции «продления» сертификата не было, нет и никогда не будет. Можно только выпустить новый сертификат для прежнего владельца.
Так откуда же пошел этот странный термин? Наше мнение – из маркетинга. Когда клиенту, получившему коммерческий сертификат и обратившемуся повторно для его перевыпуска делали скидку.
Отсюда и придумали термин «продление», чтобы отличать от обычного «выпуска». А потом пошло-поехало. Вот такой вот маркетинг, бессмысленный и беспощадный.
В IT существуют и активно используются множество терминов, которые либо неверно отражают суть происходящих процессов, либо являются неудачным переводом зарубежных терминов.
Один из таких терминов – это широко используемое «продление» сертификата, которое вводит в ступор многих начинающих, которые изучив документацию к собственному CA не находят там такой функции.
И не найдут, потому что у сертификата нет такой функции – продлить. Почему нет? Да потому что не предусмотрена.
Что такое сертификат? Это еще один пример не лучшего использования термина, но из песни, как говорится, слов не выкинешь.
Говоря сертификат чаще всего, подразумевается ключевая пара: закрытый и открытый ключ. Сертификат – это открытый ключ плюс некоторая дополнительная информация о владельце, которые подписаны ключом CA, что позволяет убедиться в их подлинности.
Закрытый ключ является секретным, а сертификат – публичным. С его помощью наши контрагенты могут убедиться, что мы – это действительно те, за кого себя выдаем или проверить подлинность нашей электронной подписи, начать защищенный сеанс связи с нами и т.д. и т.п.
Поэтому важной частью сертификата является его владелец (юридическое или физическое лицо, доменное имя или сетевой узел), который указан в поле Common Name (CN).
В настоящий момент это поле считается устаревшим и для размещения данных о владельце сертификата используется поле Subject Alternative Name (SAN), которое может содержать сразу несколько значений. Это может быть как несколько доменных имен, так и доменные имена вместе с IP-адресами, что позволяет защищать объекты с разным набором доступных имен и разными вариантами обращений.
При этом поле Common Name продолжает поддерживаться для сохранения обратной совместимости и там принято указывать «основное» имя владельца.
Кроме владельца сертификат имеет срок действия. Причем это не срок действия самого сертификата, это срок действия ключевой пары.
Почему нельзя сделать сертификат бессрочным? Можно, но крайне нежелательно с точки зрения безопасности. Ключ может быть потерян, утрачен, скомпрометирован и т.д. и т.п. Причем владелец об этом может и не знать. Поэтому короткий срок действия ключа снижает такие риски.
А также повышает доверие к такому ключу, так как говорит о том, что CA довольно регулярно проверяет владельца этого ключа и доверяет ему.
Так как же продлить сертификат с закончившимся сроком действия? Никак. Он закончился и никакой волшебной силы, способной продлить срок его жизни, сохранив ему доверие, не существует.
Что нужно сделать? Выпустить новый сертификат (читай ключевую пару) для тех же самых значений CN и SAN. Таким образом сертификат будет новый, но владелец старый и все, кто доверял ему продолжат это делать.
Таким образом следует крепко запомнить – никакой операции «продления» сертификата не было, нет и никогда не будет. Можно только выпустить новый сертификат для прежнего владельца.
Так откуда же пошел этот странный термин? Наше мнение – из маркетинга. Когда клиенту, получившему коммерческий сертификат и обратившемуся повторно для его перевыпуска делали скидку.
Отсюда и придумали термин «продление», чтобы отличать от обычного «выпуска». А потом пошло-поехало. Вот такой вот маркетинг, бессмысленный и беспощадный.
👍42👏9💯4⚡1
💎Открой для себя магию LVM: простой, но мощный инструмент для девопсов и сисадминов!
🔴 29 июля в 20:00 мск обязательно присоединяйся к нашему открытому вебинару, чтобы разгадать тайны LVM и освоить новые скиллы в мире серверной архитектуры!
На уроке мы создадим хранилище данных с использованием LVM, разберемся со снапшотами и изучим нестандартные применения этого мощного инструмента. Ты научишься пользоваться снапшотами и беззаботно переносить данные на другие диски, не тревожась за файлы и каталоги!
Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.
↪️ Регистрируйся бесплатно прямо сейчас: https://otus.pw/9V8v/
🔴 29 июля в 20:00 мск обязательно присоединяйся к нашему открытому вебинару, чтобы разгадать тайны LVM и освоить новые скиллы в мире серверной архитектуры!
На уроке мы создадим хранилище данных с использованием LVM, разберемся со снапшотами и изучим нестандартные применения этого мощного инструмента. Ты научишься пользоваться снапшотами и беззаботно переносить данные на другие диски, не тревожась за файлы и каталоги!
Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.
↪️ Регистрируйся бесплатно прямо сейчас: https://otus.pw/9V8v/
👍4👎2
Что такое Load Average и какую информацию он несет
С необходимостью правильно оценить нагрузку на систему сталкивается каждый системный администратор.
Если говорить о Linux-системах, то одним из основных терминов, с которым придется столкнуться начинающему администратору окажется Load Average (средняя загрузка).
Однако, если говорить о русскоязычном сегменте сети интернет, описание данного параметра сводится к общим малозначащим фразам, в то время как за этими простыми цифрами кроется глубокий пласт информации о работе системы.
https://interface31.ru/tech_it/2016/06/linux-nachinayushhim-chto-takoe-load-average-i-kakuyu-informaciyu-on-neset.html
С необходимостью правильно оценить нагрузку на систему сталкивается каждый системный администратор.
Если говорить о Linux-системах, то одним из основных терминов, с которым придется столкнуться начинающему администратору окажется Load Average (средняя загрузка).
Однако, если говорить о русскоязычном сегменте сети интернет, описание данного параметра сводится к общим малозначащим фразам, в то время как за этими простыми цифрами кроется глубокий пласт информации о работе системы.
https://interface31.ru/tech_it/2016/06/linux-nachinayushhim-chto-takoe-load-average-i-kakuyu-informaciyu-on-neset.html
👍20⚡3❤1
Обновлен Помощник установки и обновления сервера 1С:Предприятие для Linux
🔹 Добавлена поддержка новых платформ с вложенным архивом
https://interface31.ru/tech_it/2023/02/pomoshhnik-ustanovki-i-obnovleniya-servera-1spredpriyatie-dlya-linux.html
🔹 Добавлена поддержка новых платформ с вложенным архивом
https://interface31.ru/tech_it/2023/02/pomoshhnik-ustanovki-i-obnovleniya-servera-1spredpriyatie-dlya-linux.html
👍19
Как устроен и работает брандмауэр Windows
Брандмауэр Windows впервые был представлен в 2001 году вместе с выходом SP2 для Windows XP, а современный облик приобрел вместе с выходом Windows Vista, но не смотря на столь преклонный возраст для многих он до сих пор остается чем-то непонятным.
Такую ситуацию нельзя считать нормальной, как и полное отключение брандмауэра. Поэтому сегодня мы рассмотрим, как устроен и работает брандмауэр Windows, как он взаимодействует с пользователем и как следует составлять и читать его правила.
https://interface31.ru/tech_it/2024/07/kak-ustroen-i-rabotaet-brandmauer-windows.html
Брандмауэр Windows впервые был представлен в 2001 году вместе с выходом SP2 для Windows XP, а современный облик приобрел вместе с выходом Windows Vista, но не смотря на столь преклонный возраст для многих он до сих пор остается чем-то непонятным.
Такую ситуацию нельзя считать нормальной, как и полное отключение брандмауэра. Поэтому сегодня мы рассмотрим, как устроен и работает брандмауэр Windows, как он взаимодействует с пользователем и как следует составлять и читать его правила.
https://interface31.ru/tech_it/2024/07/kak-ustroen-i-rabotaet-brandmauer-windows.html
👍32
Установка Zabbix 7 c NGINX + PostgreSQL + TimescaleDB на Ubuntu Server или Debian
Zabbix - пожалуй одна из самых известных, развитых и функциональных систем мониторинга.
В то же время - это достаточно сложная система и освоить ее методом "научного тыка" скорее всего не получится, потребуется комплексный подход и вдумчивое изучение продукта.
В связи с недавним выпуском новой версии 7 LTS мы решили выпустить цикл статей посвященных работе с Zabbix, начнем с установки, которая, хотя и не сложна, но содержит некоторые тонкости, особенно в части установки СУБД PostgeSQL и расширения TimescaleDB.
https://interface31.ru/tech_it/2024/07/ustanovka-zabbix-7-c-nginx-postgresql-timescaledb-na-ubuntu-server.html
Zabbix - пожалуй одна из самых известных, развитых и функциональных систем мониторинга.
В то же время - это достаточно сложная система и освоить ее методом "научного тыка" скорее всего не получится, потребуется комплексный подход и вдумчивое изучение продукта.
В связи с недавним выпуском новой версии 7 LTS мы решили выпустить цикл статей посвященных работе с Zabbix, начнем с установки, которая, хотя и не сложна, но содержит некоторые тонкости, особенно в части установки СУБД PostgeSQL и расширения TimescaleDB.
https://interface31.ru/tech_it/2024/07/ustanovka-zabbix-7-c-nginx-postgresql-timescaledb-na-ubuntu-server.html
🔥54👍20❤1
Ищете надежную, высокопроизводительную и безопасную серверную операционную систему, разработанную в России? Позвольте представить вам NiceOS Linux Server – мощное решение, разработанное с учетом всех современных требований к серверным ОС.
Полностью российская разработка, которая позволяет отказаться от зарубежного программного обеспечения, обеспечивая национальную безопасность и независимость.
Уникальная разработка: NiceOS – это не форк и не клон других операционных систем. Это оригинальная, с нуля разработанная ОС, предоставляющая уникальные возможности, созданные именно для вас.
📈 Реферальная программа – получайте выгоду, рекомендуя лучшее!
Рекомендуйте NiceOS Linux Server своим коллегам, друзьям и партнерам по бизнесу. За каждое успешное внедрение нашей операционной системы вы получите специальные бонусы.
📲 Не упустите свой шанс – станьте частью NiceOS прямо сейчас! https://t.iss.one/niceos_ru
Полностью российская разработка, которая позволяет отказаться от зарубежного программного обеспечения, обеспечивая национальную безопасность и независимость.
Уникальная разработка: NiceOS – это не форк и не клон других операционных систем. Это оригинальная, с нуля разработанная ОС, предоставляющая уникальные возможности, созданные именно для вас.
📈 Реферальная программа – получайте выгоду, рекомендуя лучшее!
Рекомендуйте NiceOS Linux Server своим коллегам, друзьям и партнерам по бизнесу. За каждое успешное внедрение нашей операционной системы вы получите специальные бонусы.
📲 Не упустите свой шанс – станьте частью NiceOS прямо сейчас! https://t.iss.one/niceos_ru
😁13👎7🤮3
PostgreSQL сложен
Такое мнение приходится часто слушать после того, как мы публикуем инструкции с решениями на базе этой СУБД.
Да, PostgreSQL сложнее, чем MySQL/MariaDB, но никто и не обещал иного. Это серьезный продукт, который не осваивается на уровне пошаговых инструкций и требует хотя бы базового понимания.
Для формирования этого самого базового понимания хотим порекомендовать курс DBA1 от PostgresPRO.
Курс полностью бесплатный и содержит все то, что нужно начинающему админу баз данных. Недавно он был обновлен и теперь учитывает особенности актуальных версий PostgreSQL 14, 15 и 16.
https://postgrespro.ru/education/courses/DBA1
Такое мнение приходится часто слушать после того, как мы публикуем инструкции с решениями на базе этой СУБД.
Да, PostgreSQL сложнее, чем MySQL/MariaDB, но никто и не обещал иного. Это серьезный продукт, который не осваивается на уровне пошаговых инструкций и требует хотя бы базового понимания.
Для формирования этого самого базового понимания хотим порекомендовать курс DBA1 от PostgresPRO.
Курс полностью бесплатный и содержит все то, что нужно начинающему админу баз данных. Недавно он был обновлен и теперь учитывает особенности актуальных версий PostgreSQL 14, 15 и 16.
https://postgrespro.ru/education/courses/DBA1
👍38❤4
Что такое OCSP Stapling
HTTPS плотно вошел в нашу жизнь и сегодня уже никто не представляет сайта не защищенного шифрованием, даже если это просто информационный ресурс. Наоборот, сайт, работающий по незащищенному протоколу, вызывает опасения.
Одновременно с ростом количества защищенных сайтов встала проблема проверки валидности сертификата, классически для этого использовались списки отзыва сертификатов – CRL.
Соединяясь с сайтом и получив от него сертификат клиент (браузер) должен был обратиться на адрес распространения списков отзыва, которые указаны либо в самом сертификате, либо в корневом или промежуточном и скачать оттуда список отзыва. После чего проверить, что предъявляемый сертификат не отозван.
Одновременно с ростом количества выпущенных сертификатов стали расти и списки отзыва, что негативно сказывалось на времени установления защищенного соединения.
Чтобы облегчить клиентам жизнь был предложен Online Certificate Status Protocol (OCSP), для его поддержки сертификаты должны были содержать специальное поле «Протокол определения состояния сертификата через сеть» в котором указывался URL через который можно было выполнить онлайн-проверку.
Теперь клиент, получив сертификат сайта, обращался со специальным запросом на адрес, указанный в соответствующем поле, и получал от Центра сертификации (СА) ответ – действителен ли сертификат или нет.
Это было однозначно быстрее, чем получение и анализ списков CRL, но всплыли неожиданные тонкости.
С точки зрения протокола OCSP передающиеся в нем данные не являются секретными и не требуют шифрования. Но в тоже время они позволяли раскрыть перед СА и сторонним наблюдателем сайт, к которому обращается клиент, что не всегда приемлемо.
В связи с этим, а также чтобы уменьшить нагрузку на СА была реализована технология OCSP Stapling, которая предусматривала новый уровень взаимодействия всех заинтересованных лиц.
Теперь сервер с поддержкой OCSP Stapling самостоятельно запрашивал у CA выпустившего сертификат сайта некую «справку» о том, что сертификат является действительным, после чего передавал ее вместе с сертификатом клиенту в процессе установления соединения (рукопожатия).
Это позволяло значительно ускорить установление защищенного соединения, а также избежать утечки на сторону информации о посещаемом ресурсе.
Также это снижало нагрузку на CA, так как количество обратившихся за «справкой» серверов было гораздо ниже, чем количество обслуживаемых ими клиентов.
Казалось бы, все хорошо, но OCSP Stapling так и не был принят на уровне стандарта, что позволило допускать самые различные варианты.
Так если сертификат выпущен с поддержкой OCSP, но сервер не поддерживает OCSP Stapling, то клиент будет вынужден обратиться к серверам CA самостоятельно, чтобы выяснить текущий статус сертификата.
Если же сертификат не поддерживает OCSP, то клиенту придется загрузить CRL и проверить отзыв сертификата по списку.
А не так давно масла в огонь подлила Let’s Encrypt, которая сообщила, что намерена как можно скорее отказаться от поддержки OCSP. Среди причин названа конфиденциальность пользователей, но ниже красной нитью проскальзывает, что содержание ответчиков OCSP требует ресурсов, которые можно было бы потратить на что-нибудь более полезное.
При этом, что касается Let’s Encrypt, то эта идея не лишена здравого смысла, короткий срок действия сертификатов в 90 дней не позволяет накапливать большие CRL списки, но в тоже время остальной индустрии это будет неприятный сюрприз.
И возможно именно сейчас мы снова становимся свидетелями того, как коммерческие интересы идут вразрез с технологиями и, к сожалению, побеждают их.
HTTPS плотно вошел в нашу жизнь и сегодня уже никто не представляет сайта не защищенного шифрованием, даже если это просто информационный ресурс. Наоборот, сайт, работающий по незащищенному протоколу, вызывает опасения.
Одновременно с ростом количества защищенных сайтов встала проблема проверки валидности сертификата, классически для этого использовались списки отзыва сертификатов – CRL.
Соединяясь с сайтом и получив от него сертификат клиент (браузер) должен был обратиться на адрес распространения списков отзыва, которые указаны либо в самом сертификате, либо в корневом или промежуточном и скачать оттуда список отзыва. После чего проверить, что предъявляемый сертификат не отозван.
Одновременно с ростом количества выпущенных сертификатов стали расти и списки отзыва, что негативно сказывалось на времени установления защищенного соединения.
Чтобы облегчить клиентам жизнь был предложен Online Certificate Status Protocol (OCSP), для его поддержки сертификаты должны были содержать специальное поле «Протокол определения состояния сертификата через сеть» в котором указывался URL через который можно было выполнить онлайн-проверку.
Теперь клиент, получив сертификат сайта, обращался со специальным запросом на адрес, указанный в соответствующем поле, и получал от Центра сертификации (СА) ответ – действителен ли сертификат или нет.
Это было однозначно быстрее, чем получение и анализ списков CRL, но всплыли неожиданные тонкости.
С точки зрения протокола OCSP передающиеся в нем данные не являются секретными и не требуют шифрования. Но в тоже время они позволяли раскрыть перед СА и сторонним наблюдателем сайт, к которому обращается клиент, что не всегда приемлемо.
В связи с этим, а также чтобы уменьшить нагрузку на СА была реализована технология OCSP Stapling, которая предусматривала новый уровень взаимодействия всех заинтересованных лиц.
Теперь сервер с поддержкой OCSP Stapling самостоятельно запрашивал у CA выпустившего сертификат сайта некую «справку» о том, что сертификат является действительным, после чего передавал ее вместе с сертификатом клиенту в процессе установления соединения (рукопожатия).
Это позволяло значительно ускорить установление защищенного соединения, а также избежать утечки на сторону информации о посещаемом ресурсе.
Также это снижало нагрузку на CA, так как количество обратившихся за «справкой» серверов было гораздо ниже, чем количество обслуживаемых ими клиентов.
Казалось бы, все хорошо, но OCSP Stapling так и не был принят на уровне стандарта, что позволило допускать самые различные варианты.
Так если сертификат выпущен с поддержкой OCSP, но сервер не поддерживает OCSP Stapling, то клиент будет вынужден обратиться к серверам CA самостоятельно, чтобы выяснить текущий статус сертификата.
Если же сертификат не поддерживает OCSP, то клиенту придется загрузить CRL и проверить отзыв сертификата по списку.
А не так давно масла в огонь подлила Let’s Encrypt, которая сообщила, что намерена как можно скорее отказаться от поддержки OCSP. Среди причин названа конфиденциальность пользователей, но ниже красной нитью проскальзывает, что содержание ответчиков OCSP требует ресурсов, которые можно было бы потратить на что-нибудь более полезное.
При этом, что касается Let’s Encrypt, то эта идея не лишена здравого смысла, короткий срок действия сертификатов в 90 дней не позволяет накапливать большие CRL списки, но в тоже время остальной индустрии это будет неприятный сюрприз.
И возможно именно сейчас мы снова становимся свидетелями того, как коммерческие интересы идут вразрез с технологиями и, к сожалению, побеждают их.
👍14😢4👌2❤1
Хочешь стать реальным DevOps-специалистом за 6 месяцев? Но не знаешь где взять информацию и четкий план?
💪 Тогда лови бесплатный мета-курс Devops Roadmap - это расширенный чек-лист, который поможет сориентироваться в мире DevOps и стать крутым спецом.
👀 В мета-курсе перечислены все основные разделы и навыки, которыми должен обладать DevOps инженер: от Linux до программирования в удобном формате.
✔️А еще он будет полезен при подготовке к собеседованиям.
👽 Кстати, бонусом крутой канал о девопс. Там тоже самые свежие IT-новости, полезные советы от DevOps-инженера с 20-летним стажем, эксклюзивные материалы, релизы топовых инструментов, обзоры вакансий и личный взгляд на девопс-сферу.
📌 Ну а тем, кто хочет двигаться под руководством наставника - индивидуальная программа.
💪 Тогда лови бесплатный мета-курс Devops Roadmap - это расширенный чек-лист, который поможет сориентироваться в мире DevOps и стать крутым спецом.
👀 В мета-курсе перечислены все основные разделы и навыки, которыми должен обладать DevOps инженер: от Linux до программирования в удобном формате.
✔️А еще он будет полезен при подготовке к собеседованиям.
👽 Кстати, бонусом крутой канал о девопс. Там тоже самые свежие IT-новости, полезные советы от DevOps-инженера с 20-летним стажем, эксклюзивные материалы, релизы топовых инструментов, обзоры вакансий и личный взгляд на девопс-сферу.
📌 Ну а тем, кто хочет двигаться под руководством наставника - индивидуальная программа.
🤮6🔥4
Скрипты, Ansible, готовые образа и т.д. и т.п.
Практически к каждой сложной статье на нашем сайте можно встретить комментарии: мол много букв, все сложно, много ручной работы… а вот можно взять скрипт, Ansible, запустить готовый образ и получить тот же результат…
Можно, только вот результат будет другой. Совсем другой. Нет, продукт запустится и даже будет работать, только это будет еще один «черный ящик».
Устанавливая любой сложный продукт руками, вы хотя бы на базовом уровне приобретаете понимание из каких компонентов он состоит, как они взаимодействуют друг с другом, где лежат конфигурационные файлы и на что в них следует обратить внимание.
Разворачивая автоматически все это проходит мимо вас, и вы не имеете никакого понятия как оно устроено и работает.
А надо ли? Ведь результат получен. Ну если ваша цель была быстро развернуть продукт, взять денег и убежать – то получен. Во всех остальных случаях установить продукт – это только начало, далее его придется обслуживать и сопровождать.
И вот тут как раз и притаится засада, когда абсолютно любая сложность будет выбивать из седла, потому что нет никакого представления, как этот «черный ящик» устроен и работает.
Тоже самое касается различных панелей и прочих «радостей» начинающего администратора.
Но это абсолютно не означает, что мы против средств автоматизации и облегчения повседневного рутинного труда. Мы только за.
Но применять скрипты, особенно чужие, можно только тогда, когда вы можете прочитать его с листа и сказать, что и где он делает. И только после того, как вы его полностью прочитали.
То же самое касается и плейбуков Ansible, даже официальных. Не можете прочитать – не трогаете, как бы привлекательно не казалось решить вопрос одной-двумя командами.
Про образа мы вообще молчим, образа требуют гораздо большего понимания работы продукта и предполагают навыки его отладки.
Поэтому, если вы хотите научиться, а не просто что-то поставить «для галочки», забываем про все средства развертывания и автоматизации и раз за разом выполняем все действия руками.
С самого нуля и до получения результата, ошибаясь, исправляя ошибки, роняя все это на ровном месте, снова разворачивая и т.д. и т.п. до тех пор, пока эта работа перестанет вызывать у вас сложности, а базовые навыки работы с системой, включая базовую диагностику и отладку не отложатся на подкорке.
И вот тогда и только тогда, когда вы, встав среди ночи можете быстро посмотреть «а что там с системой» и быстро дать ответ – тогда уже берите хоть скрипты, хоть Ansible, хоть готовые образа.
Но к этому моменту вы уже давно будете понимать, что делаете и какой сценарий в каком месте уместен, а в каком нет.
Если же такого понимания нет – то только руками, любое средство автоматизации будет сейчас играть против вас.
Практически к каждой сложной статье на нашем сайте можно встретить комментарии: мол много букв, все сложно, много ручной работы… а вот можно взять скрипт, Ansible, запустить готовый образ и получить тот же результат…
Можно, только вот результат будет другой. Совсем другой. Нет, продукт запустится и даже будет работать, только это будет еще один «черный ящик».
Устанавливая любой сложный продукт руками, вы хотя бы на базовом уровне приобретаете понимание из каких компонентов он состоит, как они взаимодействуют друг с другом, где лежат конфигурационные файлы и на что в них следует обратить внимание.
Разворачивая автоматически все это проходит мимо вас, и вы не имеете никакого понятия как оно устроено и работает.
А надо ли? Ведь результат получен. Ну если ваша цель была быстро развернуть продукт, взять денег и убежать – то получен. Во всех остальных случаях установить продукт – это только начало, далее его придется обслуживать и сопровождать.
И вот тут как раз и притаится засада, когда абсолютно любая сложность будет выбивать из седла, потому что нет никакого представления, как этот «черный ящик» устроен и работает.
Тоже самое касается различных панелей и прочих «радостей» начинающего администратора.
Но это абсолютно не означает, что мы против средств автоматизации и облегчения повседневного рутинного труда. Мы только за.
Но применять скрипты, особенно чужие, можно только тогда, когда вы можете прочитать его с листа и сказать, что и где он делает. И только после того, как вы его полностью прочитали.
То же самое касается и плейбуков Ansible, даже официальных. Не можете прочитать – не трогаете, как бы привлекательно не казалось решить вопрос одной-двумя командами.
Про образа мы вообще молчим, образа требуют гораздо большего понимания работы продукта и предполагают навыки его отладки.
Поэтому, если вы хотите научиться, а не просто что-то поставить «для галочки», забываем про все средства развертывания и автоматизации и раз за разом выполняем все действия руками.
С самого нуля и до получения результата, ошибаясь, исправляя ошибки, роняя все это на ровном месте, снова разворачивая и т.д. и т.п. до тех пор, пока эта работа перестанет вызывать у вас сложности, а базовые навыки работы с системой, включая базовую диагностику и отладку не отложатся на подкорке.
И вот тогда и только тогда, когда вы, встав среди ночи можете быстро посмотреть «а что там с системой» и быстро дать ответ – тогда уже берите хоть скрипты, хоть Ansible, хоть готовые образа.
Но к этому моменту вы уже давно будете понимать, что делаете и какой сценарий в каком месте уместен, а в каком нет.
Если же такого понимания нет – то только руками, любое средство автоматизации будет сейчас играть против вас.
👍56💯26❤1