В пятницу была рассылка от Mikrotik. У них классный формат - оформляют в красивый pdf документ. Я раньше внимательно читал, переводил, вникал. Сейчас в основном пролистываю. Покупать их стало сложнее, ассортимент меньше, цены выше. Хотя сопоставимых по возможностям аналогов так и не появилось. Сам с микротиками продолжаю постоянно работать, потому что они как работали, так и работают там, где были куплены.

В новостях главным событием был выпуск новой версии утилиты Winbox 4. Вообще, это классная задумка Микротика. Всегда нравилось настраивать их устройства именно через Winbox, а не веб интерфейс. Я его всегда отключаю. Решил сразу посмотреть на новую версию.

 📌 Основные нововведения Winbox 4:

◽️Поддержка трёх систем: Windows, Linux, MacOS. Наконец-то можно будет запускать утилиту на Linux нативно, без Wine.
◽️Тёмная тема. Мне лично вообще не актуально. Не понимаю, что все так носятся с этими тёмными темами. Возможно дело в том, что я всегда со светом работаю за компьютером. В темноте действительно с тёмными темами удобнее.
◽️Возможность настраивать масштаб. Не сильно критично, но полезно. Иногда на ноутах очень всё мелко, хочется увеличить.
◽️Настройка рабочих областей. Имеется ввиду набор открытых окон. Это реально удобно. Мне не хватало. Постоянно окошки открывал, закрывал, двигал под разные задачи.
◽️Изменился внешний вид. Понятное дело, что это напрашивалось. Выглядеть интерфейс стал посовременнее.

Когда увидел новость, подумал, что работать, наверное, будет только с новой версией RouterOS 7. Опасения были напрасны. Работает и с 6-й версии. Я попробовал, очень понравилось. Сразу же увеличил стандартный масштаб, чтобы было покрупнее.

Наверное ещё есть какие-тот баги, но, объективно, работать в этой утилите удобнее. Она пока ещё в статусе бета, так что пользоваться не буду. Но на вид всё стабильно. Думаю, скоро в релиз уйдёт.

#mikrotik

Rsync - мощная консольная утилита и служба для быстрого копирования файлов. Отличает её в первую очередь скорость сравнения директорий с огромным количеством файлов. К примеру, если вам нужно будет сравнить и привести к единому содержимому два разнесённых по сети хранилища с миллионом файлов внутри, то rsync для этого подойдёт лучше, чем что-либо другое.

Расскажу про одну функциональность rsync, про которую, возможно, не все знают. Речь пойдёт про ключ --remove-sent-files. С этим ключом есть некоторая неоднозначность. В каких-то манах он представлен в таком виде, а где-то в виде --remove-source-files. Судя по описанию, это одно и то же. Я в своих скриптах использую --remove-sent-files.

Суть в том, что rsync после копирования файлов удаляет их на стороне источника. Мне чаще всего это нужно, когда я локально делаю дампы баз данных. Они какое-то время лежат на сервере, где были сделаны, а потом с бэкап сервера запускается rsync, проходит по серверам, забирает с них дампы и удаляет за собой, после того, как скопирует.

Очень удобно. Не нужно на источниках настраивать автоочистку, с которой могут быть нюансы. Например, если бэкап по каким-то причинам не выполнялся, на источниках накапливаются файлы. А когда заработает снова, будут удаляться по мере копирования.

Выглядит итоговая команда для бэкапа примерно так:

/usr/bin/rsync --remove-sent-files --progress -av -e "ssh -p 31003 -i /home/user/.ssh/id_rsa" [email protected]:/home/bitrix/mysqlbackup/ /mnt/backup/site01/mysql-dump/

Для тех, кто не привык колхозить автоматизацию бэкапов с помощью самодельных скриптов, есть готовые системы на базе Rsync. Я постарался рассмотреть практически все более ли менее известные. Вот они:

▪️ Butterfly Backup - консольная утилита Linux.
▪️ Rsnapshot - консольная утилита Linux.
▪️ ElkarBackup - сервис для бэкапов, написанный на PHP, настройка через браузер.
▪️ BackupPC - сервис для бэкапов, написанный на PERL, настройка через браузер.
▪️ Burp - сервис под Linux, более простой аналог Bacula.
▪️ cwRsyncServer Программа под Windows.
▪️ DeltaCopy Программа под Windows.

Забирайте в закладки. Для сырых данных rsync предоставляет наилучшую производительность и утилизацию канала. Особенно это заметно на большом количестве мелких файлов, или там, где большой файл изменяется незначительно. Алгоритм работы rsync позволяет не выкачивать весь файл заново, а только изменения.

#rsync #backup

Пришлось не так давно переносить виртуальный сервер Windows с установленными программными клиентскими лицензиями 1C. Мне не так часто приходится с ними взаимодействовать, так что технических нюансов их работы я не знаю, как и не имею большой практики использования. Знаю только, что они жёстко привязаны к железу и очень чувствительны к изменениям. Расскажу, как у меня прошёл перенос.

На гипервизоре Proxmox стало не хватать ресурсов. Было принято решение взять в аренду идентичный сервер, чтобы разгрузить существующий и добавить ресурсов виртуалке. Как минимум процессор там был точно такой же. Изменилась версия гипервизора с 7-й на 8-ю. Воссоздал на новом сервере виртуалку с идентичными настройками и перенёс вручную диск виртуальной машины.

Пару дней сервер проработал нормально, а потом ругнулся на программную лицензию из-за изменения железа. Меня удивило, что случилось это не сразу. В информационном сообщении было указано, что изменилась цифра в версии биоса и mac адрес сетевого интерфейса. Его я забыл скопировать со старого сервера. Это был мой недосмотр. Хоть я наверняка и не знал, что есть привязка по маку, но надо было в любом случае таким же его оставить.

Интересное произошло дальше. Я изменил mac адрес сетевого интерфейса на старый и перезагрузил сервер. Он всё равно ругнулся на изменившийся mac адрес адаптера, показывая в качестве нового адреса тот, что я уже успел поменять на старый. Думаю, ладно, ничего не поделать. Пошёл добывать документы, пинкоды и т.д. Когда всё нашёл, решил перезагрузиться ещё раз. И, о чудо, всё заработало.

Несмотря на то, что версия bios всё же изменилась, лицензия не слетела. Изменив mac адрес обратно на старый, я вернул программным лицензиям жизнь без необходимости их обновления. Версия bios в моём случае выглядела примерно так:

SeaBIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org, 01.04.2014

Соответственно, на старом сервере цифры были немного другие. Вот для примера версия bios с другого гипервизора:

SeaBIOS rel-1.16.2-0-gea1b7a073390-prebuilt.qemu.org, 01.04.2014

❗️Решил написать эту заметку, потому что везде в интернете видел информацию о том, что лицензия привязывается к версии bios. При переезде с гипервизора на гипервизор, да и просто при обновлении на новый релиз, информация о биосе меняется. Но лично в моём случае необходимости в обновлении лицензии в связи с этим не возникло. Также я не знал, что если вернуть конфигурацию обратно, то лицензии восстанавливаются. Думал, что они слетает безвозвратно.

#1С

🔝 ТОП постов за прошедший месяц. Все самые популярные публикации по месяцам можно почитать со соответствующему хэштэгу #топ. Отдельно можно посмотреть ТОП за прошлый год.

Пользуясь случаем, хочу попросить проголосовать за мой канал, так как это открывает некоторые дополнительные возможности по настройке: https://t.iss.one/boost/srv_admin.

В этот раз больше всего обсуждали мониторы. Я высказал мысль насчёт соотношения 4:3 и разрешения 1920x1200. Не хочу опять делать публикацию на эту тему, поэтому кратко скажу здесь. Я купил себе монитор 1920x1200 с диагональю 24 дюйма. Для меня это оказалось лучшим вариантом на текущий момент из тех, что пробовал. Такой формат для работы устраивает полностью.

Отличились в этот раз пользователи и админы Windows. Публикация про бэкапы Windows стала самой популярной по нескольким категориям.

📌 Больше всего пересылок:
◽️Программа для бэкапов Hasleo Backup Suite Free (657)
◽️Бесплатный видеорегистратор Frigate.video (610)
◽️Настройка службы SSHD (456)

📌 Больше всего комментариев:
◽️Обсуждение мониторов для работы (151)
◽️Заметка про Astra Monitoring (128)
◽️Поддержка Proxmox в Veeam Backup & Replication (83)

📌 Больше всего реакций:
◽️Программа для бэкапов Hasleo Backup Suite Free (243)
◽️Миграция VM в Proxmox с помощью remote-migrate (175)
◽️Алиасы, команды оболочки и бинарники в bash (166)

📌 Больше всего просмотров:
◽️Программа для бэкапов Hasleo Backup Suite Free (11164)
◽️Видео про разбор параметров TLS (10614)
◽️Некоторые полезные команды git от ohshitgit.com (10323)

#топ

Тема VPN серверов всё актуальнее день ото дня. Покажу, как быстро настроить VPN сервер OpenConnect. В чём его особенности, я рассказывал в отдельной заметке, не буду повторяться. Кратко поясню, что это VPN с использованием TLS шифрования, что делает его похожим на HTTPS трафик. Сразу скажу, что это не означает, что его нельзя отличить от реального трафика к веб сайтам. Можно, но пока такая блокировка не особо практикуется, так что можно пользоваться.

Я установлю OpenConnect на Debian 12 с использованием сертификатов от Let's Encrypt и аутентификацией пользователей через связку логин/пароль. Это максимально простая настройка, в которой вы получаете полнофункциональный VPN сервер с возможностью управления маршрутизации клиентов централизованно на сервере.

Подготовимся и получим сертификаты:

# apt install certbot
# certbot certonly -d 333271.simplecloud.ru --standalone

В директории /etc/letsencrypt/live/333271.simplecloud.ru будут файлы fullchain.pem и privkey.pem, которые нам понадобятся позже.

Устанавливаем OpenConnect из пакетов:

# apt install ocserv

Рисуем ему примерно такой конфиг /etc/ocserv/ocserv.conf. Показываю только те параметры, что поменял. Остальное отставил по умолчанию, как было:

# включаем аутентификацию по данным из файла
auth = "plain[passwd=/etc/ocserv/passwd]"
# указываем сертификат от let's encrypt
server-cert = /etc/letsencrypt/live/333271.simplecloud.ru/fullchain.pem
server-key = /etc/letsencrypt/live/333271.simplecloud.ru/privkey.pem
# указываем подсеть для внутренней адресации в туннеле
ipv4-network = 192.168.155.0
# заворачиваем в туннель все dns запросы и резолвим их через 1.1.1.1
tunnel-all-dns = true
dns = 1.1.1.1
# заворачиваем весь трафик в VPN туннель
route = default
# эти 2 подсети отправляем мимо туннеля
no-route = 192.168.13.0/255.255.255.0
no-route = 10.20.1.0/255.255.255.0

Файл конфигурации хорошо прокомментирован, нетрудно разобраться. Здесь я весь трафик отправляю в туннель. А вот такая настройка:

route = 10.10.10.0/255.255.255.0
route = 1.2.3.4/255.255.255.255

Отправит в туннель только указанные подсети.

Теперь создаём файл с учётками и добавляем пользователя zerox:

# ocpasswd -c /etc/ocserv/passwd zerox

Перезапускаем службу и проверяем её работу:

# systemctl restart ocserv
# systemctl status ocserv

Логи смотрим либо в /var/log/syslog, либо в systemd, если syslog отключен:

# journalctl -f -u ocserv

В завершении важная настройка, которую некоторые либо забывают, либо не понимают, что это такое и для чего. По умолчанию на сервере не работает перенаправление пакетов с одного сетевого интерфейса на другой. В данном случае с VPN интерфейса на WAN. Нам нужно включить эту настройку. Для этого раскомментируем в файле /etc/sysctl.conf параметр:

net.ipv4.ip_forward = 1

И применим его:

# sysctl -p

Теперь нам нужно настроить NAT, чтобы клиенты VPN сети могли выходить в интернет. Сам OpenConnect эти вопросы не решает. Для этого воспользуемся старым добрым iptables:

# apt install iptables
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Eth0 - WAN интерфейс, который смотрит в интернет.

Теперь идём на клиент, качаем клиентское приложение:

⇨ https://gui.openconnect-vpn.net/download/

Запускаем приложение, добавляем новый профиль, указав единственный параметр gateway с url сервера. В моём случае https://333271.simplecloud.ru. Далее подключаемся с использованием созданного пользователя и пароля.

Нужно не забыть настроить hook в certbot на перезапуск сервера после обновления сертификата:

post_hook = systemctl restart ocserv

Ну и не забудьте применить правила файрвола после перезапуска сервера. Подробно не останавливаюсь на этих вопросах, так как уже лимит на объём заметки исчерпан.

Получился удобный многофункциональный VPN сервер для решения различных прикладных задач маршрутизации трафика и доступа к корпоративным ресурсам.

Если кто-то пользуется данным сервером, скажите, сталкивались ли с блокировками протокола этого VPN сервера на уровне провайдеров.

#vpn

Заметил по статистике, что один сайт стали донимать какие-то роботы сканированием несуществующих страниц. В статистике 404 ошибок стало существенно больше, чем 200-х ответов. Я обычно не практикую блокировку по этому признаку, так как можно словить неявные проблемы от каких-нибудь поисковиков или других легитимных пользователей. В этот раз решил сделать исключение.

С помощью fail2ban нетрудно выполнить блокировку. Не буду подробно рассказывать про настройку fail2ban, так как это не тема заметки. Покажу, как я забанил тех, от кого сыпется много 404 кодов ответа веб сервера.

Для начала создаём правило фильтрации в директории /etc/fail2ban/filter.d. Назвал его nginx-4xx.conf:

[Definition]
#failregex = ^<HOST>.*"(GET|POST).*" (404|429) .*$
failregex = ^<HOST>.*"(GET|POST).*" *.* (status=404|status=429) .*$
ignoreregex =

Закомментированная строка подойдёт для стандартного формата логов Nginx или Apache. Вторая для моего изменённого. Я обычно использую свой формат, если собираю логи в ELK и анализирую. У меня есть набор готовых grok фильтров для этого. Вот мой модернизированный формат логов:

log_format full '$remote_addr - $host [$time_local] "$request" '
  'request_length=$request_length '
  'status=$status bytes_sent=$bytes_sent '
  'body_bytes_sent=$body_bytes_sent '
  'referer=$http_referer '
  'user_agent="$http_user_agent" '
  'upstream_status=$upstream_status '
  'request_time=$request_time '
  'upstream_response_time=$upstream_response_time '
  'upstream_connect_time=$upstream_connect_time '
  'upstream_header_time=$upstream_header_time';

Соответственно, получаем вот такую запись в логе:

178.218.43.55 - site01.ru [01/Oct/2024:13:46:24 +0300] "GET /about HTTP/2.0" request_length=123 status=200 bytes_sent=489 body_bytes_sent=8 referer=https://site01.ru/ user_agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101" upstream_status=200 request_time=0.075 upstream_response_time=0.069 upstream_connect_time=0.000 upstream_header_time=0.069

Для тех, кто использует logstash, покажу grok фильтр для этого формата. Он позволяет анализировать некоторые метрики и выводить их на графики и дашборды. Даю для справки без объяснений, так как это отдельная большая тема.

%{IPORHOST:remote_ip} - %{DATA:virt_host} \[%{HTTPDATE:access_time}\] \"%{WORD:http_method} %{DATA:url} HTTP/%{NUMBER:http_version}\" request_length=%{INT:request_length} status=%{INT:status} bytes_sent=%{INT:bytes_sent} body_bytes_sent=%{NUMBER:body_bytes_sent} referer=%{DATA:referer} user_agent=\"%{DATA:user_agent}\" upstream_status=%{DATA:upstream_status} request_time=%{NUMBER:request_time} upstream_response_time=%{DATA:upstream_response_time} upstream_connect_time=%{DATA:upstream_connect_time} upstream_header_time=%{DATA:upstream_header_time}

Приведённая в nginx-4xx.conf регулярка находит 404 и 429 ответы в таком логе. Я не силён в написании регулярок, поэтому хз, правильно составил или нет, но на практике работает. В составлении регулярок помогают вот эти сервисы:

⇨ https://regex101.com/
⇨ https://regexper.com/

Постоянно ими пользуюсь. Вот тут была хорошая подборка по этой теме. Дальше создаём файл настроек блокировки в /etc/fail2ban/jail.d, назвал его так же nginx-4xx.conf:

[nginx-4xx]
enabled = true
filter = nginx-4xx
port = http,https
action = iptables-multiport[name=Nginx404, port="http,https", protocol=tcp]
logpath = /web/sites/*/logs/access.log
maxretry = 30
findtime = 10m
bantime = 30m

Баню на 30 минут тех, кто за последние 10 минут получил 30 раз 404 ответ. На мой взгляд это достаточно мягкое условие, которое отсечёт явных ботов, но не тронет легитимных пользователей.

Если кто-то тоже банит по признаку 404 ответа, поделитесь опытом, как это лучше делать и к каким проблемам может привести. Я немного понаблюдал, вроде никто лишний не попадается на это правило.

#fail2ban #webserver

Вчера ходил на конференцию, которую тут недавно рекламировал. Это не рекламный пост, у меня его не заказывали, а на конференцию я записался и сходил по своей инициативе. До ковида я старался раз в месяц-два ходить на какую-то конференцию, причём не обязательно по IT. Просто развеяться и для расширения кругозора. В ковид всё это прикрыли, а потом как-то времени не стало на подобные мероприятия.

На конференции Trueconf я почти регулярно хожу, потому что там затрагиваются темы импортозамещения, а мне интересно знать, что в этой сфере делается. В этот раз там ещё сильнее расширили тематику (найм, ИИ, коммуникации), так что было интересно. Поделюсь с вами некоторыми несвязными между собой моментами, которые мне показались интересными.

🔹Сейчас на рынке труда в сфере IT есть существенный избыток джунов. Несмотря на то, что общая статистика показывает, что в целом по РФ вакансий больше, чем соискателей, конкретно в IT статистика обратная. Вакансий существенно меньше, чем резюме. Большая часть этих резюме от джунов, то есть это новички без опыта. Для мидлов уже плюс-минус паритет по вакансиям и резюме, а сеньоров недостаток. Так что если вы собрались вкатываться в IT, сейчас для этого плохое время. Не надо идти на IT курсы для переквалификации. А вот для того, чтобы перейти в мидлы стоит подучиться, но при условии, что вы уже джун с опытом работы.

🔹Статистика использования большими компаниями on-premise (локальных) инфраструктур плюс-минус стабильна. То есть явной тенденции на полный уход в облака не наблюдается, несмотря на то, что они показывают рост год от года. Кто-то что-то вынес, а что-то оставил на своих мощностях и переносить не собирается.

🔹Компания Гравитон может поставлять современное IT оборудование (серверы, рабочие станции, ноутбуки), которое соответствует требованиям минпромторга по локализации (она реальна, насколько позволяет современный технологический уровень в РФ), по схеме, схожей с ушедшими западными вендорами. Речь идёт о круглосуточной техподдержке, времени реагирования в 4 часа и замене оборудования в течении дня. Под это дело имеются большие складские запасы. Соответственно, за это всё нужно будет отдельно заплатить.

🔹Редсофт довольно крупная компания (около 500 сотрудников) с масштабной линейкой программных продуктов, в том числе со своей ОС для смартфонов. Я, честно говоря, думал, что это какая-то небольшая компания с ОС для рабочих станций.

🔹У компании Базальт СПО (разработчик систем Альт) есть свой продукт на замену Active Directory - Альт Домен на базе Samba DC. Я про другие продукты слышал раньше, а об этом узнал впервые. Он на самом деле не так давно был презентован. Его можно ставить вместе с AD и осуществлять плавный перенос инфраструктуры. Управлять групповыми политиками Альт Домена можно в том числе с помощью RSAT в Windows. В Linux свои похожие инструменты есть. Сделан акцент на удобство управления, как в AD.

🔹Нельзя смешивать и одновременно держать перед глазами средства коммуникации и созидания, творчества. То есть, когда делаете какую-то осмысленную работу, все мессенджеры, почта, уведомления и прочее должны быть убраны с глаз долой. Есть исследования на этот счёт. Продуктивность катастрофически падает при таком формате работы. Отмечаю это отдельно, так как помню, как во время обсуждения мониторов многие писали, что они на отдельные экраны выносят почту, мессенджеры, мониторинги и т.д. Это плохая практика. Я интуитивно всегда это понимал, поэтому у меня один монитор, один рабочий инструмент в фокусе, все уведомления всегда отключены. Сделал дело - отвлёкся на другие события. В идеале иметь разные устройства для творчества и общения. Но это больше про дизайнеров, писателей и т.д.

Процесс импортозамещения стремительно набирает обороты, причём не только на бумаге, но и на деле. Особенно, что касается замены программных продуктов. Здесь все карты в руках и ничто не препятствует. Желание, компетенции и деньги есть. С железом всё сильно сложнее.

#отечественное

🎓 У компании Яндекс есть неплохие бесплатные курсы на базе их же продуктов Yandex Cloud и Практикум. Причём выглядит это со всех сторон привлекательно как для ученика, так и для самого Яндекса. Курсы проходят на базе их облака, то есть идёт вовлечение в свою экосистему. С другой стороны обучающийся взаимодействует с реальной инфраструктурой облака и получает практические навыки.

Учебный процесс построен так, что вся практика проходит на реальных платных ресурсах облака. А чтобы вы не тратили деньги, вам даётся стартовый грант на 4000 р., которых должно хватить для обучения. Для выполнения задания тратятся небольшие суммы.

Я попробовал обучение на курсе по Terraform, так как это универсальный инструмент, который актуален не только в привязке к облаку Яндекса. Вот страница с курсами:

⇨ https://yandex.cloud/ru/training

Если отсюда выбрать курс, то вас переместит в личный кабинет Практикума, где он будет помечен, как оплаченный. И вы будете обучаться на известной обучающей платформе. Мне, кстати, понравилось, как там всё устроено.

Это будет актуально для тех, кто выбирает себе курсы для обучения. Можете оценить качество материала и самой платформы. На Практикуме много всего продаётся. Причём за много денег. Курс по DevOps - 150 т.р. 😱 Я бы не купил, если бы не был на 100% уверен, что он подходящего качества. Если кого-то интересует моё мнение по поводу этих курсов, то ничего не скажу. Не знаю ни одного человека, кто бы там отучился.

#обучение #бесплатно

Когда только начинал работать с виртуализацией на Linux, очень хотелось сесть за сервер и прямо на нём что-то сделать. Но на тот момент ни XenServer, ни VmWare не позволяли это сделать. На экране сервера был небольшой список простых действий типа настроек сети или перезагрузки. И ничего, что относилось бы к управлению виртуальными машинами. После экспериментов с VMware Workstation и Hyper-V было как-то непривычно и неудобно.

Для управления гипервизором нужно было сесть за какое-то рабочее место, поставить соответствующий клиент и через него подключаться для управления. В Proxmox с этим сейчас попроще, так как управление через браузер. Но тем не менее, он тоже не позволяет локально что-то с ним сделать. В связи этим не возникает проблем в обычной эксплуатации. А вот если вы используете Proxmox в каких-то необычных задачах, то может возникнуть желание подключить к нему монитор и выполнять настройки прямо тут же.

В Proxmox решить эту задачу очень просто. Под капотом там обычная система Debian, на которую можно установить графическую оболочку. Более того, как это сделать, рассказано в официальной Wiki проекта. Там это названо так:

⇨ Developer Workstations with Proxmox VE and X11

Всё, что вам надо сделать, так это установить туда xfce, браузер и менеджер управления графическими оболочками в системе. Предупреждаю, что делать это на продуктовых серверах - плохая практика.

Выполняем непосредственно гипервизоре:

# apt install xfce4 chromium lightdm

Добавляем пользователя, от имени которого мы будем заходить и подключаться к веб интерфейсу:

# adduser webuser

Запускаем графическую оболочку:

# systemctl start lightdm

Можно подключать монитор к серверу, заходить в систему и подключаться к локальному веб интерфейсу по адресу https://localhost:8006.

Вроде мелочь, а на самом деле удобная возможность. Я одно время хотел дома организовать рабочую станцию, чтобы семейные могли работать локально, а я иногда запускать тестовые виртуальные машины в случае необходимости. Решил в итоге задачу через RDP подключение к системе, даже когда на ней кто-то локально работает. Обычная винда позволяет превратить себя в мини-терминальник. Но это отдельная история.

Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#proxmox

Любопытное видео посмотрел не по теме канала, но тем не менее это касается каждого из нас. Плюс, было просто интересно. Видео можно прослушать в фоне или за рулём автомобиля.

▶️ Геопространственная разведка на вашем рабочем столе

Автор рассказывает, как используя различные публичные инструменты, осуществлять разведку и поиск объектов по фотографиям. Мне понравилось выступление. Информация в основном для расширения кругозора. Может кого-то заинтересует и он захочет в этом углубиться. Кратко пройдусь по технической части из видео.

Самая база - метаданные на фотках. В них могут быть точные координаты. Но это редко попадается. Далее можно улучшить качество изображения с помощью сервисов deep paint, let's enchance.io, smart upscaler, remini. На картинках можно удалить лишние объекты с помощью cleanup.pictures, removebg. Пригодится для поиска географического места без посторонних объектов в кадре, либо для поиска объектов.

Если есть видео, то можно применить панорамирование - создание из видеороликов панорамы. И далее поиск по панорамам. Ориентировка на изображениях выполняется с привязкой к горам, если они там есть, так как они все известны, посчитаны, измерены. Тени помогают узнать время действия и иногда место. Сервис для этого - Shade Map.

Инструменты для автоматической аналитики: Reverse image search, Advanced object search, поиск по картинке в поисковиках, geolocation estimation. Существуют сервисы объединения панорам со схемой и спутниковой картой: dual maps, maps compare. Это для ручного исследования.

То, что вы сфоткали и выложили в интернет, с большой долей вероятности может быть идентифицировано как географически, так и в привязке к вам. Если не хотите, чтобы о вас кто-то что-то знал, то не выкладывайте о себе информацию. Самая простая защита от этого, которая может сильно осложнить поиск - отзеркалить изображение и наложить лёгкий шум. От автоматических инструментов это реально защитит. Но вручную по деталям специалист всё равно сможет найти информацию.

То, что мы видим в публичном доступе на сервисах панорам, фоток различных мест, карт, спутниковых снимков, а так же частные фото людей, скорее всего уже проиндексировано и объединено в единую базу, так что поиск работает в автоматическом режиме. В публичный доступ вряд ли это будет отдано. А спецслужбы наверняка этим пользуются.

Тут я добавлю некоторые свои мысли. То, что мы сейчас видим в публичном доступе в виде ChatGPT и других нейросетей, скорее всего в закрытых контурах работает уже давно. У того же Apple, Google, Microsoft огромные объёмы собранных данных от людей через конечные устройства. Ни у кого подобных объёмов в масштабах всего мира нет. И сейчас часть этих возможностей вышла в публичный доступ. А в закрытом доступе скорее всего уже работают более точные специализированные нейросети, которые, к примеру, по фотке сразу определяют человека, его голос, его настроение на основе интонаций, его характер, круг общения и предположительное местонахождение этого круга, доходы и т.д.

Они же могут просчитать необходимое воздействие на какую-то социальную систему, какие и сколько источников информации понадобится, какой будет примерный бюджет и т.д. Какие психотипы лидеров мнений надо задействовать, какие смежные социальные системы взять в обработку и т.д. В рекламе это частично есть уже сейчас. Особо не скрывается, но и не на виду.

Вроде живёшь себе и живёшь, что сейчас, что 20 лет назад. Но если подумать, то мир кардинально изменился с появлением интернета и повсеместным распространением смартфонов.

#разное