​​Блокировка подключения USB-устройств в Linux

USB-устройства – это удобно, подключил и работай, но это серьезная брешь в безопасности. Поэтому многие администраторы задумываются над тем, как ограничить возможность использовать USB-устройства.

Самое простое решение, что называется «в лоб», заблокировать загрузку драйвера usb-storage, для этого выполните:

echo "install usb-storage /bin/true" > /etc/modprobe.d/usb-storage.conf

После чего потребуется перезагрузить устройство. Данный метод заменяет установку драйвера usb-storage командой /bin/true, которая ничего не делает, а только возвращает код успешного завершения операции.

При этом кроме USB-накопителей у вас также перестанут работать и USB устройства ввода, такие как клавиатуры или мыши.

Данный способ вполне подойдет для серверов, чтобы уменьшить возможности «шаловливых рук» в случае непосредственного физического доступа к устройствам.

Альтернативой указанному выше способу можно использовать:

echo "blacklist uas" > /etc/modprobe.d/blacklist.conf
echo "blacklist usb-storage" > /etc/modprobe.d/blacklist.conf

Список модулей приведен для систем Debian и Ubuntu, после чего также перезагрузите устройство.

Более гуманным будет запрет на автоматическое монтирование USB-накопителей, после чего это можно будет сделать только вручную и только с правами суперпользователя.
Создадим файл /etc/udev/rules.d/99-usb.rules и внесем в него строку:

ENV{ID_USB_DRIVER}=="usb-storage",ENV{UDISKS_IGNORE}="1"

Для применения без перезагрузки применяем:

udevadm control --reload-rules

Чтобы разрешить автоматическое монтирование выбранных устройств сначала нам потребуется узнать их серийный номер:

udevadm info --query=env --name=/dev/sdd | grep ID_SERIAL

В нашем случае мы узнаем серийный номер устройства sdd, затем добавляем в /etc/udev/rules.d/99-usb.rules строку:

ATTRS{serial}=="4079621041319618643",ENV{UDISKS_IGNORE}="0"

Где в кавычках указываем серийный номер нужного устройства. Таких строк можно добавить несколько.

Данные способы простые и в чем-то даже грубые, но они доступны на любой системе без установки стороннего ПО.

Если же требуется более гибкое управление USВ устройствами, то вам потребуется специализированный софт, например, USBGuard, но это уже тема отдельной заметки.

​​Mikrotik засоряет лог OpenVPN сервера сообщениями IP packet with unknown IP version=0 seen

Сегодня будет довольно простая заметка, но как показывает практика, не все знают и имеют желание разбираться с подобными ошибками. Ну и правда, зачем, ведь все работает?

Сегодня, несмотря на выходной день, нас попросили помочь с подключением макбука директора к OpenVPN серверу, так как завтра ему надо было в командировку, а туннель что-то не хотел работать.

Открыв лог OpenVPN сервера, мы увидели, что он буквально завален однотипными сообщениями:

IP packet with unknown IP version=0 seen

Которые массово производили несколько клиентов в лице роутеров Mikrotik. На наш вопрос о том, что эти сообщения делают в логе услышали ответ, что мол это же Mikrotik, там OVPN клиент кривой и вообще это ни на что не влияет.

А вот с последним мы решительно не согласны, лог нужен не для того, чтобы складировать в нем всякий мусор и подобный информационный шум очень сильно мешает этот самый лог читать и анализировать.

Тем более что к клиенту OpenVPN в исполнении Mikrotik эта запись лога никакого отношения не имеет. Ее источник – сервис обнаружения «соседей», который скрывается в IP -Neighbors.

Для того, чтобы роутер прекратил мусорить в лог следует исключить VPN-интерфейсы из числа доступных этой функции. По-хорошему там следует вообще исключить все интерфейсы кроме локальных, так как это потенциальная угроза безопасности.

В результате мы снова получили чистый и читаемый лог, так что теперь нужные записи в нем не приходится искать как иголку в стоге сена.

​​Байки по выходным. Интернет по журналу

Эта история произошла в начале нулевых. Тогда я еще работал на дядю в одной компьютерной фирме города и занимался в основном тем, что обслуживал корпоративных клиентов.

И вот получаю новую заявку. Клиент тоже новый, задачи простые. Пойти посмотреть, что-там и как, выяснить задачи, потребности. В общем познакомиться и подвести клиента на обслуживание.

Ну в общем отправился. Офисный центр в промзоне, несколько кабинетов, ничего необычного. Но это на первый взгляд.

Спрашиваю про сеть. А сети у них нет. И не планируется. А еще вся информация хранится только на флешках, после чего мне продемонстрировали связку этих самых флешек.

А еще сейф и журнал учета флешек в этом сейфе.

Ладно, спрашиваю, а интернет есть? Есть, говорят. И показывают отдельно стоящий компьютер с модемом. А рядом и ним что? Правильно, журнал. В котором каждый должен быть указать время начала сессии, ее окончания и адреса всех посещенных ресурсов.

Чем занималась эта фирма? Да ничем таким и ничего противозаконного тоже не делала, торговала запчастями к сельхозтехнике. Просто ее директора и учредители были выходцами из УСБ и, судя по всему, страдали тяжелой формой паранойи.

Работать с ними также не стали по причине все тех же тяжелых закидонов, когда на приходящего сотрудника они потребовали чуть ли не полное досье с подписанием всяких допусков и соглашений о неразглашении.

❓ Как хранить данные в Kubernetes?

Приглашаем 11 июня в 20:00 мск на бесплатный вебинар «Хранение данных в Kubernetes: Volumes, Storages, Stateful-приложения» от Отус, где мы познакомимся с ключевыми концепциями, инструментами и практиками для работы с данными в контейнерной оркестрации.
 
Вебинар является бесплатной частью полноценного онлайн-курса «Инфраструктурная платформа на основе Kubernetes».
 
➡️ Регистрация на вебинар:  https://otus.pw/gWt1/?erid=LjN8Jxe8z
 
На вебинаре вы:
✅ изучите методы работы с Volume и Storage в Kubernetes;
✅ проанализируете работу StatefulSet и его применение для управления состояниями приложений;
✅ узнаете, как использовать PV, PVC и SC для эффективного управления хранилищем данных.
 
🎙️ Спикер — Senior DevOps Engineer, сертифицированный администратор k8s (SKA) и Azure.
 
Записывайтесь сейчас, а мы потом напомним. Участие бесплатно.

​​Как включить Hyper-V в Windows 10/11 Home

Домашние (Home) версии Windows достаточно распространены в OEM-сегменте и могут быть установлены на достаточно мощные устройства, которые вполне годятся для работы с виртуализацией.

Однако компонента Hyper-V недоступна для пользователей домашней редакции по маркетинговым соображениям, что делает невозможной работу не только с классическими виртуальными машинами, но и с WSL (Windows Subsystem for Linux).

Но не стоит отчаиваться, данный момент довольно просто исправить, для чего используем скрипт, подготовленный командой Microsoft Virtualization team (https://github.com/MicrosoftDocs/Virtualization-Documentation/issues/915)

pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\*Hyper-V*.mum >hyper-v.txt
for /f %%i in ('findstr /i . hyper-v.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
del hyper-v.txt
Dism /online /enable-feature /featurename:Microsoft-Hyper-V -All /LimitAccess /ALL
Pause

Указанный текст следует поместить в .bat файл и выполнить его с правами администратора. После чего перезагрузите компьютер. Теперь можно использовать все возможности Hyper-V в домашней редакции Windows 10/11

​​Обновление на Windows 11 на неподдерживаемых ПК

Microsoft официально объявила что релиз 22H2 будет последним для Windows 10 и поддержка этой ОС официально закончится 14 ноября 2025 года.

При этом в эксплуатации остается все еще большой парк ПК, которые формально не соответствуют требованиям к оборудованию, но все еще способны нормально работать с Windows 11.

В сети приведено много способов обхода этих ограничений, но мы применяем самый простой и не требующий лишних действий.

Оказывается, достаточно запустить инсталлятор в режиме «сервера» чтобы он пропустил проверку и выполнил обновление системы.

Поэтому просто запустите в процесс установки командой:

D:\setup.exe /product server

Где D: - буква диска установочного носителя. Программа установки будет считать что обновляет Windows Server, но на самом деле обновит установленную редакцию ОС.

Данный способ подходит как для обновления с Windows 10 на Windows 11, так и для обновления между релизами Windows 11.

💯Вам нужен чистый сигнал!

👉Приглашаем на бесплатный вебинар онлайн-курса «Электроника и электротехника» - «Фильтрация радиосигналов - Разбор работы фильтров, моделирование»: регистрация

В результате урока вы
освоите теоретические основы и практические аспекты разработки и использования радиочастотных фильтров.

Полученные знания помогут вам
в моделировании и создании эффективных фильтрационных схем для улучшения производительности радиосистем. Это позволит вам более качественно управлять пропусканием или подавлением определенных частот в радиоэлектронных устройствах.

🤝Понравится урок — продолжите обучение на курсе по спеццене и даже в рассрочку!

erid: LjN8K44fC

​​Настраиваем цвета строки приглашения Bash

Часто встречающейся проблемой при работе с командной строкой в оболочке Bash является ее низкая информативность, не всегда можно сразу понять под каким пользователем мы работаем. На локальной или удаленной машине находимся.

Чтобы повысить информативность строки приглашения можно изменить цвет строки приглашения, например, выделив root красным цветом или выделив имя локальной системы цветом отличным от удаленных.

За формат строки приглашения отвечает переменная окружения PS1 и по умолчанию она имеет значение:

PS1='\u@\h:\w\$ '

Где u – имя пользователя, h – имя хоста, w – текущий путь, а $ - символ приглашения.

В результате строка будет выглядеть так:

user@host:/home/user$

Для изменения внешнего вида нам доступны три параметра: формат символов, цвет текста и цвет фона.

Формат может принимать три значения:

▫️Нормальный текст – 0
▫️Жирный текст – 1
▫️Подчеркнутый текст – 4

Цвета текста / фона:

▫️Черный 30/40
▫️Красный 31/41
▫️Зеленый 32/42
▫️Желтый 33/43
▫️Голубой 34/44
▫️Фиолетовый 35/45
▫️Бирюзовый 36/46
▫️Белый 37/47

Для того чтобы задать цвет отдельных элементов применяется специальное форматирование, использующее символы \e в начале и m в конце.

Например, выделим имя пользователя и хост зеленым цветом, а путь сделаем синим, при этом двоеточие и символ приглашение раскрашивать не будем:

PS1='\[\e[01;32m\]\u@\h\[\e[m\]:\[\e[01;34m\]\w\[\e[m\]\$ '

Сам цвет задает конструкция:

\[\e[01;32m\] 

Формат текста задает 01, а его цвет – 32, т.е. жирный зеленый. Если мы хотим еще изменить фон, то добавляем туда еще одно значение:

\[\e[01;32;43m\] 

В нашем случае добавили еще желтый фон. В каком порядке перечислять параметры не имеет значения, так как они отличаются для разных элементов.

Конструкция

\[\e[m\]

Сбрасывает цвет и формат элементов на дефолтные.

Так, например, если мы уберем такую конструкцию перед двоеточием, то оно тоже окрасится в заданный перед этим цвет:

PS1='\[\e[01;32m\]\u@\h:\[\e[01;34m\]\w\[\e[m\]\$ '

Проверить что получилось можно сразу, введя указанную строку в консоль и нажав Enter. Таким образом можно тонко настроить цвета в соответствии со своими потребностями.

Если же вы люто накосячили, то не отчаивайтесь, введите

PS1='\u@\h:\w\$ '

И все снова станет как было. Либо просто выйдите из консоли.

Чтобы выбранное вами оформление автоматически применялось при входе в систему добавьте полученную строку в файл .bashrc выбранного пользователя.

​​Нет пророка в своем отечестве

Каждый раз, как только поднимается обсуждение чего-либо отечественного, так сразу можно услышать возгласы: а что в этом нашего, тут все не наше, только перекрасили.

Если послушать таких ораторов, то все сводится к тому, что нашего у нас ничего нет и быть не может. А все что у нас возможно – это взять где-нибудь в Китае подешевле, перекрасить и продать у нас подороже.

С обязательными распилами и откатами… Ну как без них. А все попытки трезво разобраться в ситуации сразу же объявляются заказухой и чуть ли не соучастием в освоении бюджетных средств.

Начнем с коррупции. Она, как это не прискорбно, существует, но это не является какой-то отечественной особенностью. Коррупция – явление международное. Не так давно в Конгрессе США демонстрировался пакет с обычными гайками за $90 тыс.

И на вопрос: как же так вышло? Ответ был в стиле: ну как-то так получилось…

А мы пока пойдем дальше. Есть такой дистрибутив – Linux Mint, который представляет собой пакетную базу Ubuntu плюс собственная графическая оболочка Cinnamon. И никто не отказывает ему в звании отдельного дистрибутива.

А теперь берем Astra Linux, который не просто использует пакетную базу Debian, но и пересобирает и сертифицирует ее. И также предоставляет собственную графическую оболочку Fly, это не считая остальных корпоративных разработок, таких как мандатная система доступа или ALD Pro.

И тут же начинается: фу… взяли Debian и продают, а Fly вообще-то на базе KDE…

И что? В Mint взяли Ubuntu, а Cinnamon вообще-то на базе GNOME…

Продают? Так никто не запрещает. А чужие деньги считать, как минимум некрасиво.

А еще есть Альт, который вообще сейчас полностью самодостаточный и самобытный. Но нет, тоже не так. Оказывается, там под капотом зарубежное ядро Linux и прикладной софт тоже не сами написали.

Но тогда, товарищи, надо быть последовательными. И если Альт жалкое заимствование, то к нему в компанию надо отправить и SUSE, и Ubuntu, и всех остальных, оставив разве что базовые дистрибутивы.

Хотя, а их за что? Тоже взяли чужое ядро и чужой софт. Вот нефиг, пусть сами пишут.

Ну ладно, погорячились. Но ведь они берут бесплатно и продают за деньги? А вот здесь сходите и расскажите это компании IBM и ныне подконтрольной им Red Hat.

Они делают ровно тоже самое, так еще и вставляют палки в колеса попыткам распространять их творчество бесплатно. Историю с CentOS знают все.

Что касается железа, то сегодня не столь много мест, где можно производить высокотехнологичное оборудование. Та же продукция Apple производится в Китае, что не мешает ей нести гордую надпись «Designed by Apple in California».

Сегодня собрать железку много ума не надо, только вот ее кто-то должен до этого разработать.

Поэтому нет ничего страшного, что наши разработки производятся Китаем. Это не отменяет того, что они наши.

А вообще с Китая надо брать пример. Там никто не комплексовал по поводу «взяли чужое и перекрасили», причем сделали это крайне похабно и паршиво. Первые китайские поделия хоть в электронике, хоть в автомобилестроении вызывали только слезы.

Зато на них набили руку как в производстве, так и в разработке. Сегодня половина мира ходит с китайскими телефонами и ничуть не комплексует. А некоторые бренды создали устойчивые фанатские сообщества, как тот же Xiaomi.

Следом на рынок идут китайские авто, которые вполне конкуренты по соотношению цена/качество и давно не представляют «ведро с гайками» как это было еще лет 10-15 назад.

Сейчас отечественное производство и разработка проходят тот же самый путь, с опозданием на 10-15 лет. Да, сначала занимаемся перекраской, потом чем-то чуть более сложным. Но уже сейчас есть вполне самодостаточные вещи.

Но только почему отношение к своему производству у нас остается на уровне: наше – значит фигня. Даже не пытаясь понять и разобраться в сути вопроса?

​​Вы еще не шифруете? Тогда мы идем к вам!

Про безопасность в админской среде говорят много, но часто получается, как в старинной поговорке: сапожник в итоге остается без сапог.

Устройства Mikrotik представлять не нужно, равно как и утилиту для управления ими – Winbox.

А чтобы работать с ней было удобнее у нее есть функция запоминания пароля. Я уверен, что многие ее используют. Но есть одна тонкость.

Давайте откроем папку %APPDATA%\Mikrotik\Winbox, в которой есть интересный файл Addresses.cdb, если попытаться открыть его блокнотом, несмотря на предупреждение о том, что он бинарный мы увидим все наши сохраненные хосты и пароли к ним.

А если тихо утащить этот файлик и заменить аналогичный на своем компьютере, то получим доступ ко всем указанным в нем устройствам. Вот так легко и просто можно угнать весь парк роутеров, управляемых с рабочего места.

А учитывая, что многие используют один и тот же пароль во многих местах открываются довольно широкие перспективы по проникновению в инфраструктуру.

Как быть? Отказаться от сохранения паролей в Winbox? Вовсе не обязательно, достаточно просто зашифровать файл, для чего следует воспользоваться кнопкой Set Master Password после чего программа перестанет хранить пароли в открытом виде и автоматически будет их подставлять только после ввода мастер-пароля.

​​Учимся работать со Snap

Почему-то, как только речь заходит про Snap у многих системных администраторов включается режим «не читал – но осуждаю» при котором Snap наделяется массой отрицательных качеств и чуть ли не подлежит немедленному выпиливанию из системы.

В тоже время Snap является универсальным форматом пакетов, созданным компанией Canonical первоначально для Ubuntu, но получившим широкое распространение и в других дистрибутивах.

Главной особенностью snap-пакетов является их самодостаточность, они содержат как нужное приложение, так и все основные зависимости к нему, что ускоряет распространение приложений и снижает возможные конфликты с другим ПО.

Поэтому перед тем как «осуждать» следует все таки ознакомиться с данной технологией подробнее.

https://interface31.ru/tech_it/2022/11/linux-nachinayushhim-uchimsya-rabotat-so-snap.html

Ежедневные будни программиста 1С - канал про 1С, который поможет вырасти с Junior до Middle 🚀

Что уже есть полезного на канале: 

🔥 Менторство от ведущего программиста 1С;
✅ Задачи с собеседований;
✅ Информация о конференциях 1С;
🔠 ТОП 7 статей по подготовке к собеседованию;
✅ Тесты на логику;
✅ Информация о сервисах проверки своих знаний;
✅ ТОП книг по 1С;
✅ ТОП 12 сайтов по тематике 1С;
🔠 ТОП 7 инструментов программиста 1С;
✅ Возможности для студентов;
✅ Различные принципы, механизмы и инструменты.

Все посты вы можете найти по дайджестам в закрепленном сообщении на канале!

Также у нас есть свой стикерпак канала Ежедневные будни и не так давно мы запустили ещё и ▶️ YouTube канал Е.Будни программиста 1С!

⏩ ⏩ Переходи и подписывайся ✅

​​Особенности доступа в интернет в средней полосе России

Решили съездить в гости к родителям жены в райцентр. Срочных дел, держащих в городе нет, а все остальное спокойно решается по удаленке. Тем более что в 20 годах 21 века это явление, равно как и широкополосный интернет проникли даже в отдаленные уголки нашей родины.

Ну это я так думал. Хотя сначала ничего не предвещало беды. Дом в частном секторе, в дом затянута оптика, кроме нее неплохой двухдиапазонный роутер. В общем никакого дискомфорта, 100 Мбит/с в обе стороны.

Пока внезапно интернет не пропал… Мы с тестем как раз полдничали. Выяснилось, что закончились деньги на счету.

- Фигня, - сказал я, - сейчас пополним!

- Да вот фиг ты чего пополнишь, - ответил тесть, - это в город ехать надо, но там их контора только до 15 часов работает, так что увы…

- Да ладно, - не сдавался я, - личный кабинет же есть…

Личный кабинет был, а дальше начались увлекательные приключения. Если вы ожидали увидеть здесь привычные способы пополнения, то оказалось, что их тут нет.

Доступных вариантов ровно два: квитанция в Сберкассе и некий единый кошелек Wallet One.

Ну ладно, давайте ваш кошелек. Ну что там может быть сложного, думал я, ну возьмут свой процент комиссии и все. Сейчас быстро по СБП все оплатим.

Но куда там, здравствуйте далекие и светлые нулевые. Без регистрации в этом самом едином кошельке ничего пополнить нельзя. А регистрация без интернета не проходит.

Ладно, есть же телефон. Но телефон радостно сообщил мне, что тут местами что-то похожее на EDGE мелькает, т.е. счастья не будет.

Ну не ловит в доме, пойдем на улицу. Взял в руки телефон, бумажку с договором и пошел ловить интернет. Но улица тоже ничем не порадовала. Мобильного интернета не завезли.

Район, где мы жили, вроде, как и на окраине, но и вроде недалеко от центра. Если идти по дороге – то далековато, большой крюк получается. А если срезать через лес – то уже через 700 метров будет цивилизация с пятиэтажками.

Далеко идти, а тем более куда-то ехать не хотелось, и я решил пройтись по лесу. И чудо – появился стабильный 4G.

А дальше случайный прохожий мог наблюдать удивительную картину, как мужик на полянке с бумажкой в руке что-то активно делает в мобильном телефоне. Ну а что, ведь лес самое подходящее место чтобы в нем оплатить широкополосный оптический интернет.

Для оплаты пришлось зарегистрировать кошелек, подтвердить почту и интернет, пополнить кошелек с карты, руками вбивая ее номер, подсмотренный в приложении банка. Потом отдельно оплачивать интернет. В общем обычная операция, которая делается походя растянулась на полчаса и кучу приключений.



Так что отправляясь чуть в сторону от цивилизации, даже в таких обжитых местах как средняя полоса имейте ввиду что вопросы связи могут преподнести очень неожиданные сюрпризы.

​​Почему IPsec не самый лучший выбор для начинающих

В свое время мы не очень хотели публиковать материалы по IPsec для начинающих и оказались правы. Обратная связь показывает, что именно с IPsec читатели испытывают больше всего проблем.

И дело даже не в том, что IPsec достаточно сложен. При наличии нормальной инструкции и вдумчивом ее повторении проблем возникнуть не должно, но они обязательно появятся позже.

Все начнется с маршрутизации. Как показывает практика, это достаточно сложная тема для начинающих, но если для «обычного» VPN еще можно найти готовые шаблоны, то IPsec сразу выбивает из седла.

Потому что IPsec не имеет интерфейсов и не работает с маршрутизацией, решение о том какой трафик будет зашифрован и отправлен второму узлу принимается на основе политик IPsec. При этом будут использованы те же самые интерфейсы, которые смотрят внутрь и наружу сети.

Это вызывает первый ступор. Отдельного шлюза нет, куда и как заворачивать трафик? И готовые рекомендации здесь не помогут.

Ладно, прочитали про политики, немного разобрались. Но политики IPsec критичны к адресам источника и назначения. А в процессе прохождения пакетов через брандмауэр эти поля могут меняться в следствии работы NAT.

Также становится неочевидным действие многих правил брандмауэра, особенно тех, где используются в качестве критериев интерфейсы.

Все это требует хотя бы базового понимания работы сетей и брандмауэра, не говоря уже об IPsec.

Что приводит в итоге к ситуациям:

Все сделал как написано, оба микрота написали "established", но пинги не ходят.

Что я сделал не так?

И что тут можно ответить? Да, собственно, ничего. Потому что настроить IPsec – это только начало, все остальное поджидает вас впереди, и никакая инструкция тут не поможет, потому что вы или знаете и понимаете, как это работает и что с этим делать.

Либо уподобляетесь слепому со старого советского плаката про неграмотность, которого везде ждут неудачи и несчастья. Поэтому перед тем как браться за IPsec трезво оцените свои знания и при необходимости подтяните их.

В ПСБ Цифровая лаборатория есть программа, по которой платят 100 000 руб. за рекомендацию в ИТ.

💸 Деньги придут, как только рекомендованный вами сотрудник пройдет испытательный срок.На какой стек и с каким опытом ищем ИТ-специалистов — смотреть тут.

💼 Проектов много. Работа стабильная, зарплата приличная.

Реклама. ООО "ПСБ ЛАБ". ИНН 7714436892.

Подборка статей на тему IPsec

🔹 Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам

🔹 Настраиваем IPsec-туннель между офисами на оборудовании Mikrotik

🔹 Настройка туннелей GRE и IPIP на роутерах Mikrotik

🔹 Настройка туннелей GRE и IPIP в Debian и Ubuntu

​​Необычайные приключения с участием Антивируса Касперского

Ничто не вечно под луною, третьего дня у одного нашего заказчика стал барахлить старенький ноутбук главного бухгалтера.

Справедливости ради его давно уже стоило поменять на новый, но человек прикипел к нему буквально душой и менять не хотел до последнего. Ну Toshiba умела в свое время делать ноутбуки.

Так как замена была плановая, то мы все сохранили и отдали местному приходящему админу показав, что и куда восстановить. Хотя он и без нас неплохо справляется в этом вопросе.

И вот сегодня ближе к обеду поступил звонок, что купили новый ноутбук, все перенесли, все настроили, но ваша 1С чего-то не работает. Поэтому я свое дело сделал, дальше вы разбирайтесь.

Смотрим – и правда не работает с абсолютно не информативной ошибкой разбора XML.

Хм, странно. В самом офисе никто не жаловался. Проверяем – работает. Но в офисе тонкий клиент, ноутбук же подключается через веб-сервер. Проверили с собственного рабочего ПК. Работает.

Еще более странно. Хотя у нас туда другой туннель, OVPN с Mikrotik через TCP, там настольный клиент через UDP. Хм, а вдруг…

Переключаем. Ноль эффекта. Изучаем логи веб-сервера. Никаких ошибок. Логи подключения полностью идентичны. До определенного момента. У нас открывается база, там падает с ошибкой.

Все-же грешим на веб-сервер. Быстро поднимаем на сервере 1С Wireguard и цепляемся уже тонким клиентом напрямую. И снова та же ошибка. Все таки сервер 1С?

Сбрасываем серверный и сеансовый кеш. Без толку. Включаем технологический журнал – никаких ошибок. Да что за мистика??? Может Windows 11?

Быстро делаем еще один конфиг и подключаемся с рабочего ноутбука на Windows 11. Делаем идентичные настройки и у нас все без проблем открывается.

Т.е. проблема явно локальная. На новом устройстве. Прямо из магазина. Ну и что тут может мешать? Kaspersky Free? Внимательно изучаем журнал антивируса. Никаких подозрительных записей, никаких сообщений пользователю. Все ровно.

При этом обращаем внимание, что на новом ноутбуке не запускаются только те базы, которые работают на втором экземпляре сервера 1С с нестандартными портами. Базы на стандартных портах открываются без проблем.

Отключаем защиту – не помогает. Но подозрения насчет творчества Касперского остаются сильны и принимаем решение антивирус снести. Удаление, перезагрузка и профит! Все заработало.

Сразу скажем защитникам Касперского, позиция которых в том, что надо не сносить, а грамотно настроить защиту.

Дорогие товарищи. Если защитное решение что-то там блокирует, инспектирует или сует свои грязные лапки в пользовательский трафик, то это должно, как минимум, отображаться в журналах.

А в идеале, конечно, сообщать пользователю или спрашивать, действительно ли он запустил это и доверят ли он запущенному. В любом случае работа антивируса должна быть залогированна и прозрачна.

А так, даже при желании настроить антивирус «как надо» придется довольно долго эмпирическим путем выяснять какой именно модуль сует куда не надо свои лапки и что с ним в итоге надо сделать.

Про то, кто за весь этот банкет заплатит – даже спрашивать не будем…

Вебинар: Нужен ли swap в Linux?
Мы разберем:
- что такое swap;
- нужен ли он сегодня;
- как он работает, какие данные в него уходят;
- за что на самом деле отвечает параметр swappiness;
- структуру кеша в Linux.

🏆 Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов. 

👉 Не упустите возможность! Регистрируйтесь сейчас https://otus.pw/cNvf/?erid=LjN8K32YK 

🔑 Специальная цена на курс «Administrator Linux. Professional» для участников.

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.