У каждого системного администратора должен быть набор программных решений для практически любой ситуации — некая серверная аптечка первой помощи. В статье собрал базовый минимум ПО для «лечения» основных болезней серверов на Linux и Windows.
Привет! Меня зовут Виктор Пантелеев, я менеджер технических проектов в Яндексе. Компьютер — основной инструмент большинства наших сотрудников. А для того, чтобы этот инструмент работал как надо, его следует настроить — быстро для конечного пользователя, в соответствии с его рабочими нуждами и требованиями безопасности.
Раньше этот процесс был исключительно локальным: настройка, или, как её ещё называют, наливка, осуществлялась только в офисах по локальной сети. Но сегодня мы можем настраивать ноутбуки и удалённо. О том, как и почему мы к этому пришли, а также об эволюции процесса я расскажу в этой статье.
Вы подняли свой прокси-сервер, настроили навороченный sing-box на Android, всё летает, 4K видео грузится мгновенно. Но стоит положить телефон в карман на пять минут и магия исчезает. Соединение залипает, SSH-сессии рвутся, а WhatsApp-звонки превращаются в тишину
Как только вы включаете экран сеть оживает. Казалось бы, типичный агрессивный энергосберегатор Android, но всё гораздо глубже. Я обнаружил там проблему на стыке рантайма Go, логики ядра Linux
Улика №1: conntrack и чистка сети
Первое, что бросается в глаза при анализе логов это странное поведение системы при событиях Pause и Wake. В Android-клиенте sing-box при выключении экрана срабатывает механизм приостановкиDEBUG inbound/hysteria2[hy2-in]: connection failed: timeout: no recent network activity
panic: runtime error: index out of range [0] with length 0
goroutine 615 [running]:
github.com/sagernet/sing/common/bufio.(*SyscallVectorisedWriter).WriteVectorised(...)
В современных сборках sing-box включен флаг with_conntrack. Когда Android сообщает приложению, что пора уходить в спячку (Pause), срабатывает метод ResetNetwork(). Внутри он вызывает conntrack.Close()
Разработчики хотели как лучше: очистить таблицу состояний, чтобы при смене сети (например, переход с Wi-Fi на LTE) не оставалось мертвых записей.
К чему это приводит? На мобилке это буквально рубит все активные TCP-сессии при каждом засыпании экрана. Если ваше приложение не умеет мгновенно переподнимать сессию, вы получаете обрыв
Улика №2: Проблема замершего времени
Почему WireGuard в официальном приложении работает стабильно, а в Go-клиентах (вроде sing-box или других форков) постоянно отваливается?
Всё дело в том, как Go считает время. По умолчанию рантайм Go для всех таймеров и time.Sleep использует системные часы CLOCK_MONOTONIC
В режиме глубокого сна на Android часы CLOCK_MONOTONIC останавливаются
Если вы настроили WireGuard на отправку keepalive каждые 20 секунд:
Нагрузочный тест показывает «в среднем 800 мс», а распределённый трейс приложения упорно говорит «300 мс» — и начинается традиционная игра в ручную корреляцию. В этой статье разбираем, как связать нагрузку и наблюдаемость: запускать Locust с OpenTelemetry так, чтобы каждый запрос теста оставлял трейсы и метрики, продолжал Trace ID в сервисах и давал картину транзакции «от генератора до базы». А заодно, почему самый важный кусок времени часто прячется ещё до входа в приложение.
Один из способов пустить весь трафик Docker контейнера через Wireguard в другом контейнере: network_mode: container:name + DNSCrypt или добавить Wireguard к образу без изменения Dockerfile и docker-compose.yml
Всем привет! Меня зовут Александр, я старший инженер по верификации в YADRO. В блоге уже были статьи о том, как мои коллеги из других отделов мучают наши дисковые массивы, — одна из них тут. Наш отдел тоже работает с системами хранения данных, но без издевательств над массивами: мы проводим сертификационное тестирование. Результат трудов — сертификат, подписанный с обеих сторон и подтверждающий совместимость нашего изделия и стороннего программного продукта или аппаратного средства. Для коммерческих и государственных организаций такие сертификаты — серьезный аргумент при планировании закупки оборудования или ПО.
Вот только из-за приличного объема ручного тестирования сертификация отнимает много времени и сил, поэтому мы стараемся автоматизировать процесс. Многое пока только в планах, но кое-что уже удалось реализовать. Удачными приемами как раз и поделюсь сегодня — сможете применить в своих проектах.
Развитие веба начиналось с CGI‑скриптов. Они были основой веб‑программирования на заре становления веб‑приложений. Сегодня CGI заменён на более производительные и современные методы запуска серверного кода, но старый добрый CGI ещё крепок и может решать некоторые задачи. А вы знали, что в Angie можно запускать CGI‑скрипты без проксирования?
Для тестирования, разработки и внутреннего использования часто используются самозаверенные (самоподписанные) сертификаты. Технически такой сертификат ничем не отличается от публичного, только вместо передачи на подпись в удостоверяющий центр (УЦ) пользователь создаёт свою собственную подпись.
Под Linux мы можем сгенерировать сертификат командой mkcert или OpenSSL. Единственная проблема в том, что браузер не доверяет такому сертификату, поскольку он не подписан доверенным УЦ. Поэтому нужно ещё запустить и настроить собственный УЦ, который подписывает наши сертификаты — и добавить этот УЦ в список доверенных центров сертификации УЦ (или браузера).
Привет! На связи Виктор из Cloud4Y. Хочу поделиться практической историей о том, как сделать fail2ban-подобную механику для Exchange на Windows: быстрое обнаружение brute-force по IIS-логам и автоматическая блокировка атакующих IP.
Fail2ban и аналоги привычны для Linux, но когда у тебя on-prem Exchange на Windows, нужен свой инструмент для быстрого обнаружения массовых неудачных логинов и такой же быстрой блокировки источника.
Купил Netcraze Ultra NC-1812 (ex-Keenetic) и настроил на нём XKeen/Xray. Базовый режим у меня уже работал: часть трафика выбранных устройств идёт через отдельный профиль, остальное — напрямую. Но понадобилось выделить пару устройств в “полный” режим, чтобы весь их трафик шёл через отдельный профиль выхода, и при этом переключать всё не правкой конфигов, а просто переносом устройств между политиками в интерфейсе роутера. В статье показываю, как я сделал три режима на одном роутере (Direct / Split / Full): включил в NDMS “Клиент прокси”, добавил прокси-подключение, сделал отдельную политику для Full и минимально дополнил конфиг Xray. Плюс — как затем добавить ещё один Full-профиль по той же схеме
15 января 2026 г. — Let’s Encrypt официально объявил о широкой доступности короткоживущих (short-lived) сертификатов с временем жизни около 160 часов (чуть более шести дней) и сертификатов, работающих с IP-адресами вместо доменных имен.
2025 год стал для компании МУЛЬТИФАКТОР временем комплексных изменений. Вместо точечных доработок мы сосредоточились на развитии продуктовой системы в целом: полностью переработали логику аутентификации и запустили новый облачный сервис для внешнего мониторинга доступности.
В этой статье мы собрали ключевые обновления продуктов МУЛЬТИФАКТОР за год.
Меня зовут Юрий Морозов, я главный архитектор компании «Гарда».
В этой статье я расскажу, как можно организовать обработку трафика на высоких скоростях. Актуальность этой задачи для современной сетевой безопасности напрямую связана с эволюцией технологий передачи и обработки данных: за последние годы скорости выросли на порядок, и вместе с ними резко изменились требования к производительности систем анализа и фильтрации трафика.
Есть все признаки того, что 2026 год наконец-то станет годом десктопного Linux.
Под катом — разбор причин этого сдвига и обзор перспективных дистрибутивов для игр, максимальной производительности и экспериментов с современным Linux.
Всем привет, в этой статье я расскажу, о том как у многих прокатывает обойти белые списки, и в чем вообще корень проблемы, если вы "чайник" и не хотите запариваться со всей настройкой в <a href="#services"> конце статьи</a> привел сервисы которые упоминают в обсуждениях
Прямой коннект VLESS + Reality до Европы (Амстердам, Германия, Финка) почти у всех под шейпингом. ТСПУ освоили новую тактику: они не рвут сессию через RST, а просто «фризят» её. Как только объем данных в одной TCP-сессии переваливает за 15-20 КБ, пакеты перестают приходить. Коннект висит, пока клиент не отвалится по таймауту.
Когда собираешь и тестируешь свой Linux для одноплатника достаточно долго, начинаешь замечать, что деплой Linux на SD-карту — монотонная повторяющаяся последовательность действий, занимающая ценное время, в которой легко совершить ошибку. К тому же больно видеть, как исчерпывает свой ресурс SD-карта и слот для неё.
Часто при embedded-разработке эти проблемы решают при помощи сетевой загрузки Linux.
В этой статье я расскажу, как организовать сетевую загрузку для Raspberry Pi и собрать минимальное ядро Linux, поддерживающее сетевую загрузку.
Сетевая загрузка рассматривается для Raspberry Pi 3 Model В и Raspberry Pi 4 Model B, которые я далее называю общим термином Raspberry Pi или более ласково — малинка.
Основное назначение окружения для сетевой загрузки — ускорение отладки и тестирование пользовательских приложений и программ разрабатываемого дистрибутива Linux.
Тема сетевой загрузки довольно многогранна и затрагивает несколько уровней стека — от протоколов локальной сети до особенностей загрузчика Raspberry Pi. Я старался изложить материал максимально просто и последовательно, но если у вас нет базовых знаний о работе локальных сетей (DHCP, TFTP), протоколах TCP/IP или процессе загрузки Linux, некоторые моменты могут показаться сложными.
Статья является продолжением моей предыдущей статьи, где я рассказывал, как создать минимальный Linux для Raspberry Pi, который грузится с SD-карты.
В свой репозиторий я поместил исходный код Docker-образов, упрощающий сборку минимального Linux и настройку окружения для сетевой загрузки.
Надеюсь, что статья сэкономит вам время, которое вы сможете потратить на свой увлекательный проект.
Привет, Хаброжители! Перед вами исчерпывающее руководство для специалистов по информационным технологиям, стремящихся расширить свои знания об Active Directory. Книга научит вас эффективно использовать элементы идентификации и безопасно и эффективно управлять инфраструктурой вашей организации. Это издание было полностью обновлено: в нем подчеркивается важность строгой аутентификации на основе облачных технологий и других методов защиты инфраструктуры идентификации от вновь возникающих угроз безопасности.
Это руководство объединяет две методологически таблицы - одну для концептуальных моделей (OSI и TCP/IP) и одну для конкретных протоколов и технологий. При обнаружении ошибок / неточностей - сообщите в комментариях, после проверки действительно ли есть ошибки / неточность - информация дополниться.
Обновлено 20.01.2026
Раньше я думал, что ИБ — во многом история про деньги. Что по-настоящему серьезное внимание информационной безопасности уделяется в крупных организациях, которые могут позволить себе выделить на ИБ бюджет со множеством нулей, нанять дорогих специалистов, купить решения высокого класса, внедрить и администрировать их на экспертном уровне.
Размер бюджета на ИБ, вероятно, действительно напрямую влияет на защищенность компании. У больших компаний с дорогими департаментами ИБ дела с защитой действительно обстоят хорошо: больше персонала, выше квалификация, лучше решения (но это не точно). Однако этот факт никак не доказывает того, что в небольших организациях (условно 150–200 хостов) ситуация с защитой от кибератак должна быть обязательно плачевной.
Парадокс в том, что даже при полном отсутствии средств на ИБ организация всё равно может — и должна — защищаться. Эта статья — не про идеальную безопасность, а про то, что приемлемую ИБ вполне можно построить с использованием бесплатных и встроенных средств.
Прости, дружище, я обманул тебя. Никаких 100 миллионов подписчиков у меня нет. Но не спеши уходить. Обещаю - будет интересно.
Я микро-автор канала DevOps Brain и это рассказ о том как у меня не получается раскрутить свой канал про инфраструктуру, сети и программирование не смотря прилагаемые усилия.
Тут не будет «успешного успеха», который сочится из любой дырки. Тут будет про боль, ошибки, предрассудки, разочарования и почему я не сдамся.
