Что работает, просто и надёжно, не требует лишних затрат, то пусть и продолжает работать.
Как тут не вспомнить старый добрый мем, особенно в контексте упоминания колеса
а по сути иногда ничего принципиально нового и не несущих (те же последние версии Windows)
Windows 10 достаточно последняя версия чтобы сказать, что она принесла виртуализацию из коробки (hyper-v), мультидесктопные режимы и еще пучек всякого под капотом?
У винды при установке есть ровно одна проблема - он-лайн учетка, это правда, и то насколько я помню это касается home-версий, pro\ent - позволяют создавать offline-записи
установка на хдд была просто вечной
А теперь попробуй туда же Linux поставить, сожрет тот же час. Летом была задача раскатать 25 линуксов на i5-9700, 16 Гб ОЗУ и ... seagate 1Тб, 5400 (это тот который самый дешевый) - ~60-80 минут. При том что был файл ответов, дистриб лежал на SSD и отдавался по PXE (т.е. со скоростью 1 Гб\с). Так что тут проблема не в винде, а в ХДД.
кароч 12 часов с учётом сна
из которых спал 11? =)
Сейчас софт на винду натягивать одно удовольствие:
С текстом "оплата х2"(1.5? или сколько там по ТК) и только так.
Можно провести инверсию - если работодатель считает что во вне рабочее время, можно отвлекать рабочими задачами, значит и я в рабочее время могу пойти поспать, заняться личными делами
Хорошая логика, многое объясняет: - конские цены на жилье - это не проблема застройщиков, а проблема отсутствия денег у вас - импортозамещение - это не проблема экономики и стимуляции, а проблема его отсутствия - проблемы с персоналом в ОМС - это не проблемы ОМС, а проблема отсутствия людей - проблемы с поставками оборудования\закупками\оплаты за границей - это не проблема платежной системы, а проблема ее отсутствия (подразумевается отсутствия той которая работает и в РФ, и за границей)
Не дает, потому что ОпСоСы положили болт на IPv6, как итог - ну присвоен моему NASу IPv6 адрес, ну доступен он напрямую, подключаться то откуда? С работы нельзя (NDA), с мобилы нельзя, половина (а то и больше) провайдеров не поддерживают IPv6 (тот же дом.ру у родителей так и пишет - сорян, тебе не положено).
Единственный профит от IPv6 - торренты - больше сидов\пиров, прямые подключения, снижение нагрузки на оборудование, но это как бы проблемы провайдера и его профит.
Обычно систему сносишь, зайдя не из-под неё, потому что надо же сразу что-то накатывать
У нас заказчик хотел оборудование совместимое с Астрой, плюс набор тестов уровня "стресс тест на 20 минут", "распечатайте листик", "а покажите SMART", "а оно точно дружит с двумя мониторами". Но при этом сама Астра в наш договор не входила. Вот и пришлось сначала раскатать демо-лицензии, а потом все сносить и отгружать с пустыми хардами
У Астры есть портал Ready for Astra, на котором есть список поддерживаемого оборудования. Казалось бы, что может быть проще - вот список принтеров которые мы проверили\сертифицировали. Но оборудование туда попадает когда его уже не купить =(
По этому все что нужно сделать Астре, это периодически (раз в год?) отправлять одного закупщика и трех грузчиков в ближайший ДНС, скупать там с десяток принтеров и добавлять в свой список.
Страшно подумать, сколько там денег было потрачено на закупку этих астр.
Это открытые данные, прайсы можно найти хоть в софтлайне, в среднем 22 тыщи\лиц. (года два назад, базовая версия с ТП на 1 г.) нехитрой математикой получаем около 1.1 млн.
У них сейчас вывод каких-то команд переведен, каких-то нет. В домашнем каталоге одновременно находятся Загрузки и Desktop (или наоборот) в итоге каждый раз набирая cd\scp надо лихорадочно вспоминать, а что там... ну и ансиблом очень прикольно этим управлять.
Им в приоритет надо пакеты обновлять в своих репах с минимальным отставанием от релизов. А то ставишь "Максимальную" редакцию (это та которая может для гос.тайны использоваться, на минуточку) а там пакет NUT с багом, из-за которого шифрование не работает тарапам-пиу!
не очень понятно как это коррелирует с тем что на одном физ.адресе может быть несколько IP и это нормальная, штатная ситуация. Я могу поднять на одном интерфейсе несколько адресов тупо для того чтобы разнести два сервиса использующие один порт. Просто для того чтобы не поднимать какой-ндь реверс прокси (например, nginx под виндоус то еще веселье).
Далее, роутер на то и маршрутизатор чтобы иметь возможность объединять сети - никто не запрещает вам разбить все на VLAN'ы (условно 1 порт 1 VLAN, для wi-fi аналогично 1 клиент 1 VLAN), а для обмена данными между устройствами использовать роутер с IP-сетью для каждого VLAN. Т.е. у вас на уровне L2 везде будет ровно два устройства (клиент и роутер), но за счет маршрутизации на условном L3(TCP\IP) все будет доступно. Правда роутер должен быть мощным чтобы все это переваривать. подсказка-бонус, спуффинг в такой сети чуть менее чем полностью бесполезен
arp-spoofing
От этого сканера толку нольцелых-нольдесятых, еще и сеть засрет броадкастами. Проще снимать маки с таблицы коммутаторов\роутера, по SNMP(v3) - так хоть сразу будет понятно в какой порт ткнулся злоумышленник и автоматом его заблокировать.
Второе, почему вы думаете что на ваш активный скан злоумышленник будет отвечать? Ну типа нафига? очевидно что массовая рассылка /24 это не просто так - заблокировал ответы вашей ESPхе и все. Всем остальным отвечаешь, а еспхе нет.
Третье, что произойдет с таблицей mac-адресов если злоумышленник ответит через время Т > 1 c. (почему кстати выбрали 1с. Почему не 10 с.?)
Если уж очень хочется, то выглядит так как будто должно быть включено зеркалирование портов на роутере и "анализатор" должен смотреть на бродкаст траффик и уже там ловить дубликаты ответов.
когда один и тот же MAC-адрес «отзывается» на несколько адресов, являются тревожными звоночками
Ну да, ну да
Один из рабочих профилей
Именно эту особенность я и буду использовать: просто отправлять ARP-запросы со всеми адресами домашней сети. Девайсы, которые ответят — подключены к сети, которые промолчат — не подключены (либо не хотят об этом сообщать 😊).
Как там сканирование \8 маски на ESP, всех ресурсов хватит?
возможного arp-spoofing
Это настолько за уши притянуто, что аж комментировать не хочется.
Это еще ничего, я тут в документах и официальных гайдах(!) переодически натыкаюсь на "А сейчас рассмотрим протокол резервирования *STP". И ладно бы это писали всякие отусы, так нет производитель промышленного(!!!) телеком.оборудования
Ровно до тех пор пока прекрасные люди опять не включат вайтлисты для мобильного трафика.
В пределах региона оооочень редко когда включают фильтрацию VPN. У меня wireguard падал от силы раза 3-4 с начала СВО. Проще рубить трафф на магистрале, чем в локальной (городской) точке обмена траффиком
Все хорошо, только перехватывается и воспроизводится легко
Подключаться с рабочего компьютера по vpn в свою локальную сеть не очень хорошая идея, как для своей безопасности, так и для рабочей среды.
Подключаться с рабочей среды куда угодно не очень хорошая идея, что через VPN, что напрямую в 3389(мыслительный эксперимент). Вообще у вас есть мобила на которую можно и RDP\SSH\VNC-клиент поставить и почти все VPN-ы использовать. Маленький экран? Покупаешь модель с возможность подключаться к монитору (Samsung S-какой-то там, Pixel 8+ и пр.) и вуаля мобильное рабочее место готово (клава-мышь по вкусу).
Не работают VPN'ы, мобилу отбирают злые безопасники? окей, Apache Guacamole. Ставим на роутер\сервер, имеем доступ по http(s).
KVMки нужны не для того чтобы работать, а для того чтобы в биос зайти, ОС установить (на бсод посмотреть), да сеть настроить. Ну и резервный канал, чтобы посмотреть а шлюо там случилось что сервер не отвечает.
Для всего остального придумали VPN(чтобы голой попой в интернет не торчать), плюс
WoL - wake up on lan, возможность включать ПК через сеть
RDP/vnc/ssh - для доступа.
Так что настройте себе RemoteDesktop и радуйтесь жизни - в нем плюшек сильно больше чем в нянькеКвм
Отдельно хочу отметить, что если (ну мало ли) у вас ПК на intel, да еще с vPro, то скорее всего у вас есть AMT, внутри которого уже реализован весь kvm-функционал
Как тут не вспомнить старый добрый мем, особенно в контексте упоминания колеса
Windows 10 достаточно последняя версия чтобы сказать, что она принесла виртуализацию из коробки (hyper-v), мультидесктопные режимы и еще пучек всякого под капотом?
У винды при установке есть ровно одна проблема - он-лайн учетка, это правда, и то насколько я помню это касается home-версий, pro\ent - позволяют создавать offline-записи
А теперь попробуй туда же Linux поставить, сожрет тот же час. Летом была задача раскатать 25 линуксов на i5-9700, 16 Гб ОЗУ и ... seagate 1Тб, 5400 (это тот который самый дешевый) - ~60-80 минут. При том что был файл ответов, дистриб лежал на SSD и отдавался по PXE (т.е. со скоростью 1 Гб\с). Так что тут проблема не в винде, а в ХДД.
из которых спал 11? =)
Сейчас софт на винду натягивать одно удовольствие:
Так и во вне рабочее время, без одобрения жены/кота/венеры в пятом доме я тоже не могу работать
С текстом "оплата х2"(1.5? или сколько там по ТК) и только так.
Можно провести инверсию - если работодатель считает что во вне рабочее время, можно отвлекать рабочими задачами, значит и я в рабочее время могу
пойти поспать,заняться личными деламиХорошая логика, многое объясняет:
- конские цены на жилье - это не проблема застройщиков, а проблема отсутствия денег
у вас- импортозамещение - это не проблема экономики и стимуляции, а проблема его отсутствия
- проблемы с персоналом в ОМС - это не проблемы ОМС, а проблема отсутствия людей
- проблемы с поставками оборудования\закупками\оплаты за границей - это не проблема платежной системы, а проблема ее отсутствия (подразумевается отсутствия той которая работает и в РФ, и за границей)
Не дает, потому что ОпСоСы положили болт на IPv6, как итог - ну присвоен моему NASу IPv6 адрес, ну доступен он напрямую, подключаться то откуда? С работы нельзя (NDA), с мобилы нельзя, половина (а то и больше) провайдеров не поддерживают IPv6 (тот же дом.ру у родителей так и пишет - сорян, тебе не положено).
Единственный профит от IPv6 - торренты - больше сидов\пиров, прямые подключения, снижение нагрузки на оборудование, но это как бы проблемы провайдера и его профит.
У нас заказчик хотел оборудование совместимое с Астрой, плюс набор тестов уровня "стресс тест на 20 минут", "распечатайте листик", "а покажите SMART", "а оно точно дружит с двумя мониторами". Но при этом сама Астра в наш договор не входила. Вот и пришлось сначала раскатать демо-лицензии, а потом все сносить и отгружать с пустыми хардами
То что для всех "давно", для Астры "о! надо бы добавить!"
Мы точно сносили 50+ Астр этим летом, единственное не помню через `rm -rf` или через `dd if=/dev/zero of=/dev/sda --bs...` суть то не меняется =)
У Астры есть портал Ready for Astra, на котором есть список поддерживаемого оборудования. Казалось бы, что может быть проще - вот список принтеров которые мы проверили\сертифицировали. Но оборудование туда попадает когда его уже не купить =(
По этому все что нужно сделать Астре, это периодически (раз в год?) отправлять одного закупщика и трех грузчиков в ближайший ДНС, скупать там с десяток принтеров и добавлять в свой список.
Это открытые данные, прайсы можно найти хоть в софтлайне, в среднем 22 тыщи\лиц. (года два назад, базовая версия с ТП на 1 г.) нехитрой математикой получаем около 1.1 млн.
Спасибо, но можно не надо?
У них сейчас вывод каких-то команд переведен, каких-то нет. В домашнем каталоге одновременно находятся
ЗагрузкииDesktop(или наоборот) в итоге каждый раз набирая cd\scp надо лихорадочно вспоминать, а что там... ну и ансиблом очень прикольно этим управлять.Им в приоритет надо пакеты обновлять в своих репах с минимальным отставанием от релизов. А то ставишь "Максимальную" редакцию (это та которая может для гос.тайны использоваться, на минуточку) а там пакет NUT с багом, из-за которого шифрование не работает тарапам-пиу!
не очень понятно как это коррелирует с тем что на одном физ.адресе может быть несколько IP и это нормальная, штатная ситуация. Я могу поднять на одном интерфейсе несколько адресов тупо для того чтобы разнести два сервиса использующие один порт. Просто для того чтобы не поднимать какой-ндь реверс прокси (например, nginx под виндоус то еще веселье).
Далее, роутер на то и маршрутизатор чтобы иметь возможность объединять сети - никто не запрещает вам разбить все на VLAN'ы (условно 1 порт 1 VLAN, для wi-fi аналогично 1 клиент 1 VLAN), а для обмена данными между устройствами использовать роутер с IP-сетью для каждого VLAN. Т.е. у вас на уровне L2 везде будет ровно два устройства (клиент и роутер), но за счет маршрутизации на условном L3(TCP\IP) все будет доступно. Правда роутер должен быть мощным чтобы все это переваривать. подсказка-бонус, спуффинг в такой сети чуть менее чем полностью бесполезен
От этого сканера толку нольцелых-нольдесятых, еще и сеть засрет броадкастами. Проще снимать маки с таблицы коммутаторов\роутера, по SNMP(v3) - так хоть сразу будет понятно в какой порт ткнулся злоумышленник и автоматом его заблокировать.
Второе, почему вы думаете что на ваш активный скан злоумышленник будет отвечать? Ну типа нафига? очевидно что массовая рассылка /24 это не просто так - заблокировал ответы вашей ESPхе и все. Всем остальным отвечаешь, а еспхе нет.
Третье, что произойдет с таблицей mac-адресов если злоумышленник ответит через время Т > 1 c. (почему кстати выбрали 1с. Почему не 10 с.?)
Если уж очень хочется, то выглядит так как будто должно быть включено зеркалирование портов на роутере и "анализатор" должен смотреть на бродкаст траффик и уже там ловить дубликаты ответов.
Ну да, ну да
Один из рабочих профилей
Как там сканирование \8 маски на ESP, всех ресурсов хватит?
Это настолько за уши притянуто, что аж комментировать не хочется.
Это еще ничего, я тут в документах и официальных гайдах(!) переодически натыкаюсь на "А сейчас рассмотрим протокол резервирования *STP". И ладно бы это писали всякие отусы, так нет производитель промышленного(!!!) телеком.оборудования
В пределах региона оооочень редко когда включают фильтрацию VPN. У меня wireguard падал от силы раза 3-4 с начала СВО. Проще рубить трафф на магистрале, чем в локальной (городской) точке обмена траффиком
Все хорошо, только перехватывается и воспроизводится легко
Подключаться с рабочей среды куда угодно не очень хорошая идея, что через VPN, что напрямую в 3389(мыслительный эксперимент). Вообще у вас есть мобила на которую можно и RDP\SSH\VNC-клиент поставить и почти все VPN-ы использовать. Маленький экран? Покупаешь модель с возможность подключаться к монитору (Samsung S-какой-то там, Pixel 8+ и пр.) и вуаля мобильное рабочее место готово (клава-мышь по вкусу).
Не работают VPN'ы, мобилу отбирают злые безопасники? окей, Apache Guacamole. Ставим на роутер\сервер, имеем доступ по http(s).
У всех KVM'ок инпут лаг будь здоров.
KVMки нужны не для того чтобы работать, а для того чтобы в биос зайти, ОС установить (на бсод посмотреть), да сеть настроить. Ну и резервный канал, чтобы посмотреть а шлюо там случилось что сервер не отвечает.
Для всего остального придумали VPN(чтобы голой попой в интернет не торчать), плюс
WoL - wake up on lan, возможность включать ПК через сеть
RDP/vnc/ssh - для доступа.
Так что настройте себе RemoteDesktop и радуйтесь жизни - в нем плюшек сильно больше чем в нянькеКвм
Отдельно хочу отметить, что если (ну мало ли) у вас ПК на intel, да еще с vPro, то скорее всего у вас есть AMT, внутри которого уже реализован весь kvm-функционал
Звучит безопасно и надежно :)