⚡️ Хочу в очередной раз напомнить про опасность открытого доступа к RDP порту через интернет. Один знакомый на днях написал, что его инфраструктуру частично зашифровали. Проникновение было через открытый в интернет RDP порт для удаленного подключения.

Я сам несколько раз сталкивался с шифровальщиками. Однажды меня тоже зашифровали через открытый порт со всеми установленными обновлениями в системе. Когда обслуживал офисы, много встречал шифровальщиков. У меня даже раздел есть на сайте, где я рассказываю про свои истории.

Открытый rdp порт гарантирует, что вас рано или поздно зашифруют. Это вопрос времени и везения. Если нужен удаленный доступ именно по rdp, то используйте один из вариантов:

1️⃣ Доступ только через vpn. Самый надежный способ, который решает не только вопрос rdp подключений, но и в целом доступ к инфраструктуре. Основное неудобство vpn - настройка подключения на стороне клиентов. В зависимости от выбранной реализации, это может быть не тривиально, так что нужно писать инструкции или подключаться на пользовательские компы и настраивать подключение. Идеальный вариант - вы сами настраиваете оборудование и передаете пользователю в готовом виде.

2️⃣ Использовать Remote Desktop Gateway (RDG) - шлюз для rdp соединений от Microsoft. Подключение по rdp осуществляется через https соединение. На входе перед RDG можно настроить HAproxy для дополнительной защиты. В целом, надежный вариант. Я не слышал историй взлома подобных шлюзов, хотя нельзя этого полностью исключить.

3️⃣ Open source аналог предыдущего шлюза - Apache Guacamole. Может
проксировать не только rdp протокол, но и vnc, ssh. Работает через браузер с помощью HTML5. В целом удобная и функциональная штука, но периодически в ней находят серьезные уязвимости.

4️⃣ Можете настроить port knocking или аналогичную защиту на шлюзе. Подключение пользователей можно автоматизировать с помощью скриптов. Вариант колхозный, но если у вас мало клиентов и нет желания усложнять инфраструктуру, это может быть нормальным решением.

5️⃣ Ограничение доступа к rdp порту по ip на уровне Firewall. Просто закройте доступ списком статических ip адресов, если у вас есть такая возможность. Очень простой и надежный вариант. К сожалению, чаще всего неприменим из-за динамических ip адресов клиентов.

6️⃣ Замените подключение по rdp каким-то другим удаленным доступом. Выбор инструментов сейчас обширен, как бесплатно, так и за деньги. Другое дело, что эти варианты тоже могут иметь уязвимости, но в целом шанс от них пострадать ниже, чем у rdp. Последний очень популярен и постоянно происходят попытки его взлома.

А вы лично сталкивались с шифровальщиками? Теряли данные из-за них?

​​Существует очень крутой мониторинг Newrelic. Я знаю его давно. Раньше у них был бесплатный тарифный план, позволяющий мониторить, если не ошибаюсь, до 10-ти хостов. Потом в какой-то момент они убрали бесплатный тариф, и я прекратил им пользоваться.

Это полностью готовый мониторинг, работающий по принципу saas. Вам достаточно установить агент на сервер, указать свой уникальный ключ и все. Дальше агент все сделает сам, а вам останется только зайти в веб интерфейс и смотреть метрики.

Функционал мониторинга очень крутой. Пользоваться удобно. Я мониторил только инфраструктуру с его помощью, то есть сами сервера. Но он умеет гораздо больше - логи, приложения, тесты через браузер и т.д. Даже при мониторинге сервера он автоматом наблюдает за каждым процессом, автоматом находит все docker контейнеры и следит за ними.

Сейчас я узнал, что у него снова появился бесплатный тариф. Я толком не нашел подробностей, но судя по его странице pricing, не тарифицируются данные, объемом менее 100G в месяц. Это очень много, и если это реально бесплатно, то круто. Я пока добавил туда один сервер для теста. Все работает, денег не просит.

Рекомендую попробовать. Настроить очень просто. Буквально зарегистрируетесь и сразу же при первом входе попадете на очень подробное руководство, где вам расскажут, как поставить агента на сервер.

#мониторинг

- Что нам мешает выполнить задачу?
- Геометрия!
- Просто игнорируйте её....

Очень интересное видео, прям рекомендую к просмотру. Оно не про ИТ, но очень близко к нему. Особенно понравились комментарии, где по аналогии люди накидали ситуаций. 

https://www.youtube.com/watch?v=UoKlKx-3FcA

- На каком языке лучше делать сайт интернет-магазина? Ruby, PHP, Python?
- А вы сделайте так, что бы можно было выбрать язык.

Я фотограф - ретушер. Приходит однажды ко мне женщина лет 55 и дает фото, на которой сидят она с подругой лыбятся и мужик задом. Так вот она просит развернуть мужика чтоб он тоже смотрел в камеру! Минут 15 втирала ей что это невозможно... Сошлись на том что я просто не разбираюсь!

- Что нам мешает скинуть вниз стекло с 10 этажа при этом не разбив его?
- Физика.
- Просто игнорируйте её.

- Вы профессионал, вот вам деньги, покажите как правильно.
- Вот так правильно.
- Я не согласен.

- Вы делаете сайты ?
- Да. 
- Сделайте тогда нам сайт с зеркальным фоном , чтобы клиент видел своё отражение.

Хочу немного порассуждать в выходной день. На неделе попалась новость про переименование репозиториев в github с master на main. Думаю, любой здравомыслящий человек понимает, что это какая-то глупость. На поверхности практического смысла тут нет и искать не стоит. Для чего же делается эта на первый взгляд бессмыслица?

Очевидно, что все это происходит не само собой. Кто-то активно двигает эту тему в массы. В моем понимании реализуется в полной мере принцип "Разделяй, стравливай и властвуй". Технология, обкатанная столетиями, если не тысячелетиями.

На уровне народов и граждан этот принцип можно наблюдать на таких противостояниях, как "Америка враг России", "Во всем виноваты жиды", "Москва паразитирует на России" и т. д. Вы думаете случайность, что уровень жизни в Москве намного выше регионов? Конечно нет. Достаточно было направить налоговые потоки в нужное русло и все как-будто само собой получилось. А для чего это делается?

Подобные перекосы как гнойные нарывы могут зреть очень долго. Потом достаточно будет небольшого толчка, чтобы начался конфликт. Пока все более ли менее хорошо, нарыв не беспокоит. Но как только начнутся внутренние проблемы, все такие нарывы тут же вскроются и начнется конфликт. Те же еврейские погромы начала 20-го века наглядно это демонстрируют.

Теперь возвращаемся к теме политкорректности и репозиториям. Профессиональные сообщества, в отличие от народов и граждан, более монолитны и сплочены. И этот удар политкорректности направлен именно на них. Для того, чтобы посеять раскол. Если вы внимательно проследите за этой темой, то увидите похожие процессы в среде ученых и спортсменов. Это то, что заметил я лично. Может где-то еще, специально не искал.

Обычно такие процессы, раскалывающие общества, предвестники смутных времен. Добавьте сюда тренд масс медиа на образ будущего в виде постоянных столкновений, кризисов, апокалипсисов и т.д. Все это звенья одной цепи, которые выстраиваются в единый ряд, если окинуть все широким взглядом. К сожалению, в рамках одной заметки эту тему не раскрыть.

В общем, не поддавайтесь на провокации, будьте спокойны и разумны. "Человек человеку друг, товарищ и брат". Только такой принцип межличностных отношений гарантирует спокойное, поступательное движение вперед в развитии общества и отдельных ее членов (тут стоит пояснить, что такое развитие, но это отдельная тема). Любые конфликты и деление на категории, сорта, касты, цвета и т.д. выгодны только тем, кто на самом верху. А мы, простые люди, в этом противостоянии всегда будем проигравшими.

Жму руку, товарищ прочитавший!

https://www.opennet.ru/opennews/art.shtml?num=54297

В выходные обновлял сервера и на одном словил принудительную проверку fsck при загрузке. Все бы ничего, но раздел был на 3Tb, сервер в проде, а проверка шла непрогнозируемо долго.

Не нашел как отключить или отложить это дело простым способом, а с livecd или в single mode загружаться не захотелось, чтобы не ресетить лишний раз виртуалку. В итоге дождался окончания процесса.

В общем, история неприятная. Немного понервничал, так как до конца не было понятно, что процесс закончится удачно и не будет проблем. Из бэкапов все восстанавливать очень долго, так как данных много.

Подробное описание и разбор оформил в статью.

https://serveradmin.ru/a-start-job-is-running-for-file-system-check/

▶️ Посмотрел недавно видео про то, как делают бэкапы в Badoo. Не могу сказать, что вынес оттуда что-то новое для себя в организационном плане, но в целом видео считаю полезным. Подача материала понравилась. Не просто презентация, про то, как мы делаем, а немного художественная история получилась. Из того, что не понравилось - шапка в помещении на выступающем.

Если интересуетесь, как качественно делать бэкапы, рекомендую к просмотру. Там прям весь процесс описан от простого к сложному с подводными камнями. Например, рассказывается, что надо обязательно делать карту сервисов прежде чем приступать к их бэкапу, иначе просто не синхронизуете их между собой. Так же не забыто управление ресурсами во время бэкапа, чтобы не класть сервис на лопатки. И так далее. Очень много всего.

Понравилось определение: «Бэкап - это неизменяемые данные на определенный момент времени». Это сразу отсекает всякие рейды и реплики из списка вариантов бэкапа.

Основные свойства бэкапа:

1️⃣ должен быть в стороне, не подвержен изменению;

2️⃣ должен восстанавливаться;

3️⃣ нужно всегда знать, за какое время ты сможешь
восстановить данные.

Также обратил внимание на софт, который использует Badoo для бэкапов - Bareos. Я знаком с его первоисточником - Bacula, bereos - форк бакулы. Саму бакулу я когда-то давно настраивал и использовал. Впечатления были не очень, поэтому от продукта отказался. Слишком сложный, неинтуитивный, лапша конфигов. Плюс, его еще самого надо бэкапить, потому что если Bacula грохнется, ничего из бэкапов не достать.

Возможно, имеет смысл попробовать Bareos. У кого есть опыт его использования, поделитесь в комментариях.

https://www.youtube.com/watch?v=cQsSALJt80E

#видео #backup

Ударно потрудился в этом году. Регулярно писал посты, получилось более одного в день. Для меня телеграм прям открытие этого года. Давно им пользуюсь, но вести активно канал начал фактически пол года назад.

Более того, начал потихоньку вести другие информационные проекты, там тоже будут каналы, но уже без моего публичного участия. Немного устал от постоянного потока сообщений в личку. Пока все в зачаточном состоянии, потому что не продумал до конца модель делегирования дел. Одному вести несколько проектов тяжело, а надо еще администрировать и не забывать учиться. Дел и планов много на следующий год.

Спасибо всем, кто меня читает, комментирует по делу, подсказывает. Я очень много почерпнул для себя из обратной связи, которую получаю от вас.

Небольшой совет по теме канала. Я рекомендую обновить и привести в порядок все подконтрольные вам системы и сервисы до НГ. Праздники, когда все отдыхают и отходят от дел, часто используют злоумышленники, чтобы нанести максимальный ущерб.

​​На днях подбивал дела уходящего года. Нужен был дедик. Заказал, как обычно, в Selectel. Я беру бюджетные сервера линейки chipcore с двумя ssd дисками. Для серверов общего назначения под web, почту, мониторинг нормально подходят.

Недавно у них появился новый шаблон системы - Proxmox 6. Очень удобно, быстро получаешь готовый гипервизор. Все автоматически ставится на mdadm raid1, сверху lvm. После установки все проверил, массив на месте. Грузится система с /boot, который тоже на mdadm.

На вид все в порядке. При выходе из строя одного диска, система должна продолжить работать. Но был один важный нюанс. Решил проверить наличие загрузчика на обоих дисках. И как оказалось, загрузчик был только на sda, то есть на первом диске.

Таким образом, при его выходе из строя, данные все останутся на месте. Но если вы закажете замену диска, после перезагрузки сервер сам не поднимется, потому что на втором диске нет загрузчика, а первый будет новый. Если бы вышел из строя второй диск sdb, то замена прошла бы штатно.

Так что не забывайте все внимательно проверять после поучения сервера. Вот пара моих заметок по теме аренды серверов.

1. Как мне заменили в Selectel не тот диск - https://serveradmin.ru/vosstanovlenie-raid-1/

2. Получил новый сервер с убитыми ssd - https://t.iss.one/srv_admin/190

Хочу поделиться занимательной историей про популярные расширения для браузера - https://habr.com/ru/company/yandex/blog/534586/ с теми, кто ее не слышал.

Обращаю ваше внимание на нее, потому что сам пострадавший. Мне одно время нравился Яндекс.Браузер и я его активно использовал. В какой-то момент стал замечать, что слышу рекламу, когда использую наушники. В рекламе рассказывали про Сбербанк. Слышал ее, только когда использовал Яндекс.Браузер.

Я тогда даже в чате своем спрашивал, как разобраться в этой фигне и найти виновника звука. Но в итоге так и не стал подробно разбираться, потому что реклама была редко и нужно было ловить момент. Решил, что это браузер занимается подобной фигней и просто перестал им пользоваться.

В то время не знал, что виновато было расширение SaveFrom.net. Но сам для себя решил, что буду пользоваться голым браузером вообще без расширений. Так и поступил и с тех пор мой основной браузер Chrome без расширений.

К слову, у меня эта история была в районе года назад. То есть все это время указанные в статье расширения следили за пользователями и имели возможность запускать на его стороне практически любой код. Обалдеть, сколько всего они могли насобирать за это время.

Так что ко всем расширениям браузеров надо относиться очень внимательно, особенно ко всяким блокировщикам рекламы, которые стоят почти у всех. Почти наверняка они следят за вами. Ведь этот софт "бесплатный".

🤪 Немного юмора в праздники. У меня есть небольшая подборка вакансий сисадминов, которые я в свое время собрал на авито. Статья старая, думаю, многие не видели ее, так что решил еще раз поделиться.

Пару примеров оттуда:

Пройду обучение системным администратором или стажером программиста, образования нет, самостоятельно изучаю язык С, коммуникабельный, легко обучаем, знание Ос Windows выше среднего, так же работаю в Ubuntu.

С 14 лет ставил винду и восстанавливал систему знакомым, поэтому опыт есть. Знаю очень хорошо php/css/html5/js/Apache/Linux. Как дополнение разбираюсь в интернет-маркетинге SEO/CPC. На среднем уровне умею работать на 1С. Касательно изменений конфигурации, подключении касс и т.д.

https://serveradmin.ru/lyubopytnye-vakansii-sistemnyh-administratorov/

#юмор

Хороший юмор на тему сисадминов. Смотреть с субтитрами, если не разбираете, о чем говорят. Но там и так все понятно, если что. Понравилось больше всего:

"Сегодня мы с сожалением прощаемся с нашим лучшим сотрудником Майклом. Он забыл свой пароль (испуганный вскрик в зале) и больше не может продолжать свою работу. Я бы хотела с этим что-то поделать, но как вы все знаете, если пароль забыт, то это конец. Он исчезает навсегда (слезы провожающих)."

Еще круто подметили тему с проводами у блондиночки в кабинете 😂

https://www.youtube.com/watch?v=53H3KJ3oAIs

Я решил открыть новую рубрику на сайте и публиковать каждый месяц информацию о своей работе над сайтом и группой в телеграме. В том числе в отчетах будет полная информация о доходах и расходах данной сферы моей деятельности.

Мне кажется, это будет интересно и полезно не меньше основной тематики сайта и канала. У меня есть большой практический опыт в том деле, который наработать не проще, чем изучить те же IT технологии. Скорее даже сложнее, так как нет систематизированных знаний или курсов, где тебя всему научат.

Пока это проба пера и первый отчет за декабрь прошедшего года. Формат и содержание записей будет меняться. Если хотите увидеть какую-то дополнительную информацию или чтобы я раскрыл какую-то еще тему, пишите пожелания в комментариях на сайте. Постараюсь их учесть в следующих отчетах.

https://serveradmin.ru/skolko-ya-zarabotal-na-sajte-i-gruppe-telegram-v-dekabre/

Картинка вроде бы бредовая. Юмор высосан из пальца. Но на практике, когда я работал в офисе, меня на полном серьёзе и не раз просили починить стул, стол (клавиатура падала с подставки), ящик стола, розетку, удлинитель, лампочку, стартер, открыть замок без ключа и т.д...

Было такое?

Хватит шуточек, пора уже и делом заняться. Новогодние праздники утомляют. Не люблю долго бездельничать. Обычно с нетерпением жду, когда закончатся праздники и начнутся трудовые будни.

Давно уже планировал написать небольшую заметку вот по какой важной теме. Я советую в скриптах, особенно тех, что будут запускать в cron указывать полные пути к бинарникам. То есть не просто rsync, а /usr/bin/rsync. Это сэкономит вам уйму времени на отладку и поиск проблем.

Обычное дело написать скрипт без полных путей, засунуть его в крон и долго соображать, почему что-то не работает. А все просто. Вы тестируете скрипт в своем окружении, а cron запускает в своем. И у него может не быть PATH для ваших бинарников.

Еще есть нюанс с тем, как PATH проверяется. У вас могут быть одни и те же имена бинарников, но в разных директориях. Например, для php это может быть актуально. Там надо смотреть, в какой последовательности перебираются пути. Я в свое время записал это, но сейчас уже подзабыл. Столкнулся с тем, что запускался не тот бинарник, который мне был нужен.

Я лично для себя решил, что проще везде писать полные пути, чем следить за тем, чтобы было правильное окружение, в котором все пути те, что вам нужны.

Пульт управления нодой Ethereum. Часа 2 разбирался с синхронизацией ноды. Эфир - вечная головная боль. У нее постоянно что-то ломается.

Я использую клиент openethereum. Прошлая версия 3.0.1 зависла на определенном блоке и несколько дней не могла продолжить синхронизацию. Перепробовал все, что только можно. Пришлось обновляться на 3.1.0, а там новый формат db и обновление - это путь в один конец.

Часто обновление приносит новые проблемы, еще хуже старых, не тороплюсь обновляться. Но делать нечего, пришлось рискнуть. Обновил базу, бинарники, подправил конфиг под новую версию и запустил.

Нода тупо ни на что не отвечает после запуска. В логах тихо. Пару раз ее грохнул OOM Killer. Пришлось добавить swap 32G, как памяти на сервере. Нода активно ела ресурсы - cpu, память, диск. Через 1,5 часа молчаливой работы штатно запустилась и стала отвечать на запросы.

Очередная проблема решена. Если кто-то, как и я, работает с нодами, давайте скооперируемся для обмена опытом. Инфы мало, проблемы решать одному тяжело.

Я прохожу сейчас обучение по CI/CD. По завершении, напишу свой отзыв. В курсе предлагается готовое тестовое окружение, но я использую свое, чтобы получше во всем разобраться. Из-за разницы окружения, столкнулся с небольшой ошибкой.

Суть в том, что gitlab-runner по умолчанию связывается с job через tags. Я столкнулся то ли с багом, то ли с нюансом своей версии Gitlab. Решил оформить решение в статью, чтобы не забыть и с вами поделиться.

https://serveradmin.ru/gitlab-this-job-is-stuck-because-the-project-doesnt-have-any-runners-online-assigned-to-it/

​​Любопытная статья про архитектуру очень большого отказоустойчивого мониторинга на базе Zabbix, который живее всех живых, несмотря на то, что его уже столько лет хоронят.

https://habr.com/ru/post/536194/

К сожалению, в статье нет каких-то интересных подробностей и практических примеров, но просто для понимания, что так можно сделать, сойдет.

Мониторинг высокой доступности настроен с помощью старых и хорошо известных инструментов - Corosync и Pacemaker. Это кластеризация на уровне приложений на базе бесплатного ПО.

Жаль, что в статье совсем не рассмотрели вопрос с кластеризацией БД. Под большой нагрузкой там очень много нюансов по настройкам и реализации, чтобы все это нормально работало.

Как обычно, в комментариях куча людей начали хоронить Zabbix и спрашивать, почему не Prometheus. Если кому-то интересно, то у меня есть отдельная статья со сравнением Zabbix vs Prometheus.

✉ Опубликовал статью с различными вариантами настройки почтового сервера postfix для сопровождения работы сайта. В основе лежит задача по выбору сервера, через который будет отправка в зависимости от домена получателя письма.

Попутно рассказываю, зачем вообще свой почтовый сервер сайту. Какие он дает возможности и чем они отличаются от готовых сервисов. Показываю, как гибко управлять отправкой.

Так же в статье собрал все ссылки на свои похожие публикации по теме управления отправкой почты через postfix. Постарался доступно все объяснить на примерах из своей практики.

https://serveradmin.ru/postfix-vybor-servera-dlya-otpravki-v-zavisimosti-ot-poluchatelya/

📌 Завтра, 12 января, вторник, пройдет вебинар: Обзор системы мониторинга Zabbix.

На нем разберут основные концепции работы с системой мониторинга Zabbix, ее архитектуру, возможности.

Вебинар для тех, кто хочет познакомиться с этой системой и узнать ее возможности. Если уже плотно работаете с Zabbix, вряд ли услышите что-то новое и интересное для себя.

https://us02web.zoom.us/webinar/register/WN_-ipzBm3bQ7yVzsluom6B5w

​​Один из читателей моего сайта заморочился и написал руководство по бэкапу гипервизора - https://serveradmin.ru/forum/postid/2259/. За то, что он не поленился это сделать, я его искренне благодарю, так как знаю, что оформить полезную заметку - осмысленный труд, занимающий время.

Сам я по сути темы уже написал свое мнение там же в обсуждении на форуме. Бэкапить гипервизорвы нет смысла. И если вам вдруг понадобилось это сделать, значит вы что-то делаете не так. Виртуализация как раз и избавила нас от необходимости бэкапить таким сложным способом железные сервера. Я примерно так же бэкапил сервера под управлением Freebsd, когда начинал свою карьеру.

Но сейчас нет необходимости это делать. Виртуальные машины переезжают на гипервизоры одного и того же вендора без проблем практически на любое железо. Если у вас выходит из строя гипервизор, вы просто восстанавливаете виртуальные машины на любой другой и продолжаете работу.

При этом бэкап виртуальных машин значительно проще, чем железных серверов. Это одно из весомых преимуществ виртуализации, которое явно упрощает управление инфраструктурой. Надо обязательно этим пользоваться и забыть о бэкапе железных систем.

Отсюда возникает важный вывод, о котором некоторые забывают. На сам гипервизор не стоит навешивать какой-то функционал, помимо самого гипервизора. Исключение я делаю только в одном случае, когда использую KVM.

Иногда гипервизор выполняет роль простейшего шлюза для виртуальных машин. На нем настроен firewall и nat. Если нужен более сложный функционал, шлюз переезжает в отдельную виртуальную машину. То есть даже dns и dhcp я не ставлю на гипервизор, чтобы как раз не пришлось его бэкапить. Если виртуальной сети нужны эти службы, поднимается отдельная виртуалка со шлюзом.