ИМХО. За правку системного sshd_config хочется уже руки отрывать. Есть отдельный каталог sshd_config.d для своих настроек. Перед самым новым годом дважды пришлось спасать использующих эту старую пагубную практику. Для "спокойствия" за безопасность на долгих новогодних праздниках они сделали обновления серверов. С которыми прилетели "обновленные" sshd_config. И они потеряли удаленный доступ к системам.
Спасибо за статью. Она с подвигла меня наконец немного разобраться в текущих возможностях "зоопарка" ПО и творящегося "цирка".
К сожалению, в погоне за упрощением для домохозяек с мобильниками, все основные усилия направлены только туда.
Когда надо подключить домашние тестовые виртуалки, или старый телевизор в youtube, то все становится как-то печально. Из-за невозможности запуска на них "однокнопочных" графических клиентов до VPS.
Моя практическая сборка для дома оказалась значительно проще. 1) Голый Xray, в режиме клиента, на домашнем Linux маршрутизаторе. Можно обойтись и железным маршрутизатором с OpenWRT. 2) VPS, с 3x-ui. Пришлось по выбирать не забаненные за нарушения ip адреса у хостера.
Xray умеет быть socks (и другими видами) прокси. В него можно завернуть хоть весь трафик правилами nftables. Так же можно настроить правила по geoip, или фильтрацию по доменам. Но на клиенте я этого делать не стал. На стационаром ПК использую браузер с несколькими профилями. Один из которых идет в интернет через socks на Xray, в домашнем маршрутизаторе.
"Фильтрации" доменов в собственной голове я доверяю больше. Могу читать недоступные по geoip статьи на данном ресурсе и на многих других. Достаточно просто открыть второе окно браузера, с другим профилем через socks. Тогда сайт решит, что браузер из далекой Германии.
P.S. Хорошо, что open source пока доступен на github и там есть актуальная документация. Т.к. перепечатываемые руководства, с картинками, очень часто неактуальны для текущих реализаций.
Если статья для новичков, то наверное будет правильно рекомендовать им изучать что-то актуальное и свежее. 1) Зачем ставить и изучать ufw, если на Debian 12-13 уже работает nftables? 2) Зачем рекомендовать генерацию rsa ключей, если широко распространены более компактные ed25519? 3) Зачем править системный sshd_config, если в системе специально есть целый каталог sshd_config.d, для пользовательских изменений? А еще sshd_config может по недосмотру затереться настройками "по умолчанию" при обновлении системы. 4) KbdInteractiveAuthentication no надо добавить, иначе парольная аутентификация продолжит работать. 5) Неплохо бы проверить IPv6 на VPS. А то VPS может оказаться доступна всем. 6) Работа из под root пользователя не самая лучшая рекомендация для начинающего.
Возможно я ошибаюсь, но с 2022 все Windows, не купленные и не активированные в составе с ПК, уже нелицензионные/контрафактные. Официально MS ничего не продает в России. Старые контракты SA уже закончились (ЕМНИП контракты до трех лет). Все корп и ентерпрайз редакции не разрешалось использовать без действующего SA контракта. Но возможно что-то и поменялось в лицензионной политике MS после пандемии.
Возможно я "альтернативный" ретроград... Но повторю опять: 1. Зачем тащить iptables, ufw, net-tools в ситему 2025 года? 2. Зачем портить sshd.config, если есть целая директория sshd_config.d для кастомизации? 3. Почему используете PasswordAuthentication no PermitRootLogin no но не добавляете KbdInteractiveAuthentication no 4. Зачем неконтролируемый автоапдейт на удаленном сервере? Можно нежданно получить или автозамену конфигов, или обновленные сервисы, которым не понравятся старые конфиги. Тривиально, какие-то опции ушли в deprecated, или отменены.
Вы абсолютно правы. Но я говорил о процессорных ядрах. И о том, что один rphost не выходит далее одной NUMA-ноды. Что при высокопроизводительной настройке сервера равно одному физическому процессору. ЕМНИП одна база не работает сразу с несколькими rphost. На вскидку нашел https://its.1c.ru/db/metod8dev/content/5903/hdoc И по докладам Антона Дорошкевича запомнил рекомендацию, что rphost должно быть в два раза больше, чем NUMA нод.
Возможно я ошибаюсь. Вы предлагаете на типовом двух-четырех процессорном сервере включить Node Interleaving? (С другими способами объединения памяти для всех процессоров не встречался). Но тогда можно на 30%-40% получить падения производительности из-за задержек операций с памятью.
ЕМНИП rphost заперт в одной NUMA-ноде! Так что более одного процессора с одной базой не смогут работать. Если конечно в 1С 8.5. что-то новое не завезли.
1) Есть предположение что вы ошибаетесь в ограничениях лицензии 1С ПРОФ. ЕМНИП там ограничение в 12 ядер. Если конечно за год в 1С 8.5 что-то новое не ввели. 2) TPC - однопоточный тест! (Как и многие операции в 1С). Ждать от него реакции на увеличение ядер, мягко говоря, странно. Вы еще удивитесь, что и при КОРП лицензии, rphost не сможет использовать ядра с другой NUMA-ноды. 3) Нагрузочное тестирование, с эмуляцией реальной работы, никто не отменял!
Увидел список древних вредных советов. 1) Забудьте в 2025 году для нового сервера об iptables! Используйте nftables. 2) Net-tools на той же свалке истории. 3) Перестаньте лезть руками в системные конфигурационные файлы! Например sshd_config. Для пользовательских настроек есть папка sshd_config.d. Кладите туда свои настройки. (Там еще полезно KbdInteractiveAuthentication no) 4) Перестаньте ломать сетевые стандарты и переносить ssh порт! Сканер его все равно найдет за секунды.
Уже почти 3 года, с января 2023 года, OpenVPN 2.6.0 умеет работать по ключу и отпечатку (как и WireGuard). Вот одна из статей https://tavda.net/openvpn
1) Для тех, кто не хочет EasyRSA, напомню, что OpenVPN 2.6.0 выпущен аж в январе 2023 года. И он отлично умеет работать по ключам и отпечаткам. Вот одна из статей https://tavda.net/openvpn 2) Хорошо, когда конечными клиентами являются персональные устройства. А если это филиалы с полсотней сетевых устройств? 3) При не идеальном эфире для сотовой связи, кои можно наблюдать во многих торговых центрах страны, udp туннель просто мертв. Только tcp спасает ситуацию, хотя и проседает по скорости. 4) Имеем множество клиентов в регионах страны, где без mssfix туннель вообще не работает. (У WireGuard не обнаружили такой возможности).
Пару лет живет кластер из 3-х NUC10. Все сетевое хозяйство на три сотни устройств завязано на него. Proxmox 7-8. GlusterFS. CHR. Win для удаленного управления разным оборудованием офиса и старым WinBox. UniFi. Пережило смерть SSD и смерть блока питания. Офис даже не узнал об этом.
Жаль в Proxmox 9 выпилили поддержку GlusterFS. Т.к. Ceph очень тяжел для NUC10.
Природный уран никогда не был топливом для энергетических реакторов. У него рыночная цена - копейки. Нужен обогащенный уран. И если для производства бомбы цена не важна (в США около половины всей вырабатываемой электроэнергии в 40-х было направлено в работу установок обогащения урана для Манхэттенского проекта ), то для коммерческого использования цена топлива будет определяющей. Коммерчески выгодное обогащенное ядерное топливо для АЭС, на сколько я знаю, сейчас делают "не только лишь все". Но многие хотят. И обещают после магического 2030 года.
ИМХО. За правку системного sshd_config хочется уже руки отрывать. Есть отдельный каталог sshd_config.d для своих настроек.
Перед самым новым годом дважды пришлось спасать использующих эту старую пагубную практику.
Для "спокойствия" за безопасность на долгих новогодних праздниках они сделали обновления серверов. С которыми прилетели "обновленные" sshd_config. И они потеряли удаленный доступ к системам.
Спасибо за статью. Она с подвигла меня наконец немного разобраться в текущих возможностях "зоопарка" ПО и творящегося "цирка".
К сожалению, в погоне за упрощением для домохозяек с мобильниками, все основные усилия направлены только туда.
Когда надо подключить домашние тестовые виртуалки, или старый телевизор в youtube, то все становится как-то печально. Из-за невозможности запуска на них "однокнопочных" графических клиентов до VPS.
Моя практическая сборка для дома оказалась значительно проще.
1) Голый Xray, в режиме клиента, на домашнем Linux маршрутизаторе. Можно обойтись и железным маршрутизатором с OpenWRT.
2) VPS, с 3x-ui. Пришлось по выбирать не забаненные за нарушения ip адреса у хостера.
Xray умеет быть socks (и другими видами) прокси. В него можно завернуть хоть весь трафик правилами nftables.
Так же можно настроить правила по geoip, или фильтрацию по доменам. Но на клиенте я этого делать не стал.
На стационаром ПК использую браузер с несколькими профилями. Один из которых идет в интернет через socks на Xray, в домашнем маршрутизаторе.
"Фильтрации" доменов в собственной голове я доверяю больше. Могу читать недоступные по geoip статьи на данном ресурсе и на многих других. Достаточно просто открыть второе окно браузера, с другим профилем через socks. Тогда сайт решит, что браузер из далекой Германии.
P.S. Хорошо, что open source пока доступен на github и там есть актуальная документация. Т.к. перепечатываемые руководства, с картинками, очень часто неактуальны для текущих реализаций.
Если статья для новичков, то наверное будет правильно рекомендовать им изучать что-то актуальное и свежее.
1) Зачем ставить и изучать ufw, если на Debian 12-13 уже работает nftables?
2) Зачем рекомендовать генерацию rsa ключей, если широко распространены более компактные ed25519?
3) Зачем править системный sshd_config, если в системе специально есть целый каталог sshd_config.d, для пользовательских изменений? А еще sshd_config может по недосмотру затереться настройками "по умолчанию" при обновлении системы.
4)
KbdInteractiveAuthentication noнадо добавить, иначе парольная аутентификация продолжит работать.5) Неплохо бы проверить IPv6 на VPS. А то VPS может оказаться доступна всем.
6) Работа из под root пользователя не самая лучшая рекомендация для начинающего.
Это всегда было только про деньги.
Возможно я ошибаюсь, но с 2022 все Windows, не купленные и не активированные в составе с ПК, уже нелицензионные/контрафактные.
Официально MS ничего не продает в России. Старые контракты SA уже закончились (ЕМНИП контракты до трех лет). Все корп и ентерпрайз редакции не разрешалось использовать без действующего SA контракта.
Но возможно что-то и поменялось в лицензионной политике MS после пандемии.
Осталось дождаться открытого аукциона, со свободными ставками на машину?
Или регуляторы это не разрешат?
Это в первую очередь определяется наличием бухгалтерских документов.
Вот была статья: https://habr.com/ru/articles/320278/
Ей уже почти 9 лет! Но мы продолжаем тащить legacy из системы в систему.
Вот еще статья: https://habr.com/ru/companies/ruvds/articles/580648/
Ей уже 4 года!
Возможно я "альтернативный" ретроград... Но повторю опять:
1. Зачем тащить iptables, ufw, net-tools в ситему 2025 года?
2. Зачем портить sshd.config, если есть целая директория sshd_config.d для кастомизации?
3. Почему используете
PasswordAuthentication noPermitRootLogin no
но не добавляете
KbdInteractiveAuthentication no4. Зачем неконтролируемый автоапдейт на удаленном сервере? Можно нежданно получить или автозамену конфигов, или обновленные сервисы, которым не понравятся старые конфиги. Тривиально, какие-то опции ушли в deprecated, или отменены.
Это вы попутали MSDOS и времена процессоров 8086, 8088. Там был 1Мегабайт памяти на все. Из которых 640 Кб можно использовать для программ.
"640 Кб должно быть достаточно для каждого (640K ought to be enough for anybody)". © Бил Гейтс.
Вы абсолютно правы. Но я говорил о процессорных ядрах. И о том, что один rphost не выходит далее одной NUMA-ноды. Что при высокопроизводительной настройке сервера равно одному физическому процессору.
ЕМНИП одна база не работает сразу с несколькими rphost.
На вскидку нашел https://its.1c.ru/db/metod8dev/content/5903/hdoc
И по докладам Антона Дорошкевича запомнил рекомендацию, что rphost должно быть в два раза больше, чем NUMA нод.
Возможно я ошибаюсь. Вы предлагаете на типовом двух-четырех процессорном сервере включить Node Interleaving? (С другими способами объединения памяти для всех процессоров не встречался). Но тогда можно на 30%-40% получить падения производительности из-за задержек операций с памятью.
ЕМНИП rphost заперт в одной NUMA-ноде! Так что более одного процессора с одной базой не смогут работать. Если конечно в 1С 8.5. что-то новое не завезли.
1) Есть предположение что вы ошибаетесь в ограничениях лицензии 1С ПРОФ.
ЕМНИП там ограничение в 12 ядер. Если конечно за год в 1С 8.5 что-то новое не ввели.
2) TPC - однопоточный тест! (Как и многие операции в 1С). Ждать от него реакции на увеличение ядер, мягко говоря, странно. Вы еще удивитесь, что и при КОРП лицензии, rphost не сможет использовать ядра с другой NUMA-ноды.
3) Нагрузочное тестирование, с эмуляцией реальной работы, никто не отменял!
ЕМНИП Chrome перестал поддерживать обновления для Windows 8.1 сразу после EOL для Windows 8.1.
Увидел список древних вредных советов.
1) Забудьте в 2025 году для нового сервера об iptables! Используйте nftables.
2) Net-tools на той же свалке истории.
3) Перестаньте лезть руками в системные конфигурационные файлы! Например sshd_config. Для пользовательских настроек есть папка sshd_config.d. Кладите туда свои настройки. (Там еще полезно KbdInteractiveAuthentication no)
4) Перестаньте ломать сетевые стандарты и переносить ssh порт! Сканер его все равно найдет за секунды.
Уже почти 3 года, с января 2023 года, OpenVPN 2.6.0 умеет работать по ключу и отпечатку (как и WireGuard).
Вот одна из статей https://tavda.net/openvpn
1) Для тех, кто не хочет EasyRSA, напомню, что OpenVPN 2.6.0 выпущен аж в январе 2023 года. И он отлично умеет работать по ключам и отпечаткам.
Вот одна из статей https://tavda.net/openvpn
2) Хорошо, когда конечными клиентами являются персональные устройства. А если это филиалы с полсотней сетевых устройств?
3) При не идеальном эфире для сотовой связи, кои можно наблюдать во многих торговых центрах страны, udp туннель просто мертв. Только tcp спасает ситуацию, хотя и проседает по скорости.
4) Имеем множество клиентов в регионах страны, где без mssfix туннель вообще не работает. (У WireGuard не обнаружили такой возможности).
Пару лет живет кластер из 3-х NUC10. Все сетевое хозяйство на три сотни устройств завязано на него.
Proxmox 7-8. GlusterFS. CHR. Win для удаленного управления разным оборудованием офиса и старым WinBox. UniFi.
Пережило смерть SSD и смерть блока питания. Офис даже не узнал об этом.
Жаль в Proxmox 9 выпилили поддержку GlusterFS. Т.к. Ceph очень тяжел для NUC10.
Природный уран никогда не был топливом для энергетических реакторов. У него рыночная цена - копейки. Нужен обогащенный уран.
И если для производства бомбы цена не важна (в США около половины всей вырабатываемой электроэнергии в 40-х было направлено в работу установок обогащения урана для Манхэттенского проекта ), то для коммерческого использования цена топлива будет определяющей.
Коммерчески выгодное обогащенное ядерное топливо для АЭС, на сколько я знаю, сейчас делают "не только лишь все". Но многие хотят. И обещают после магического 2030 года.