Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 87
Доступ к интернету в наши дни напоминает игру в «Сапёра»: никогда не знаешь, где рванёт и какой репозиторий отвалится завтра. Утром ты сеньор-помидор, а к обеду не можешь стянуть дистрибутив, потому что чей-то IP попал под горячую руку регулятора.
«Проблемы индейцев Шерифа не волнуют…»
Надо в нормальные юрисдикции перебираться
Я хотел в Германию, а там на моноколесе нельзя ездить. И вот сидим на своих болотах.
на разводных мостах главное успеть разогнаться
Мыши плакали, кололись….
Призжайте в Сербию. На моноколёсах ездить не запрещено, климат тёплый, интернет не блокируют, штрафов за торренты и т.п. нет, в отличие от Германии.
Принято. Рассмотрю.
А что по ценам и налоговой политике?
Ну и не мало важно отношение коренного населения если честно.
Тут довольно самобытно, потому что Сербия не в ЕС.
Налоги относительно небольшие (не Германия), налог + пенсионные + ОМС в сумме 30% или меньше (в зависимости от возраста и дохода за год).
По недвижимости ближе к РФ - можно купить жильё и потом через 8 лет продать без налогов, либо можно его избежать, если после продажи купить новую квартиру подороже в тот же год. (нет маразма как в Германии с налогом в 40% даже если квартира от родителя к ребёнку перешла). По жилью можно получить ВНЖ.
По ценам - что-то дешевле и доступнее, что-то нет. Страна 7 млн населения со своей таможней и правилами, рынок маленький и ради него не особо заморачиваются. На таможне электроника получает +32% к цене товара + доставки, но в качестве обходоного пути - есть те, кто в чёрную возят из соседней Венгрии или из Германии, налогов не платят и цена заметно ниже.
Еда хорошая и вкусная.
Б/у машины из Европы недорогие (очень примерно - за 10к евро можно взять гольф или ауди 2015 года), новые тоже везут. Зимой снега почти нет, солью дороги не посыпают и машины не ржавеют. Чтобы зарегистрировать машину в Сербии на себя, надо иметь ВНЖ. Ещё можно первые полгода-год ездить на номерах РФ (будут приключения чтобы машину доставить через ЕС и с тем чтобы оформить страховку, но кто-то так делает)
По банкам - кривые, неудобные, но к счастью можно использовать наличку (например, платить ей за квартиру). Так сильно проще переехать (в Германии возможен замкнутый круг, когда банк хочет прописку, арендодатель - сначала залог и квартплату на карту, а карты из РФ не работают).
Какие-то старые соглашения между СССР и Югославией всё ещё работают, поэтому документы типа дипломов/справок и т.п. апостилировать не надо (но иногда надо переводить). Первые 30 дней россиянам безвиз. Если вдруг очень надо больше, можно съездить в Черногорию и через день обратно.
Есть прямые рейсы из Белграда в РФ. Дорого, потому что народ из ЕС в РФ летит через Сербию и спрос большой.
По работе в IT - есть немножко русскоязычных компаний типа яндекса/варгейминга, есть офисы Майкрософта и Хуавея.
Сербы к русским хорошо относятся, иногда даже сами знают русский (но очень редко). Язык южнославянский, довольно сильно отличается. Какие-то базовые слова типа "мясо, вода" с теми же корнями, но ударения и окончания обычно другие. Местами можно найти интересные параллели между языками, но они не сильно помогают говорить.
Жить безопасно, можно ночью спокойно гулять по городу.
Из минусов - вокруг ЕС, визы россиянам дают очень неохотно (типа очереди на подачу в несколько месяцев, подношения кучи бумажек и потом получаения однократной визы), и хоть Сербия и близко к центру Европы, поездить по ней будет сложно.
И ещё гражданство Сербии обычным россиянам фактически не выдают. Закон есть, но есть люди, которые отказались от российского, а потом Сербия передумала выдавать и они зависли в состоянии без гражданства. Может в будущем что-то изменится, но сейчас так. Есть какие-то обходные пути, некоторые олигархи из РФ как-то получили гражданство Сербии в качестве второго и продолжили кататься в ЕС, но обычным людям ничего не светит.
Это ведь сарказм, да? Или аббревиатура каких-то запрещенных веществ?
Если нет, то какие-то странные приоритеты у людей, уровня "там нет сушилки на стиралке". Не перестаю удивляться.
Ирония, в смысле в других странах - другие проблемы.
Ну дык смотреть, как в анекдоте нужно: "это был туризм, а это иммиграция".
К тому же большинство проблем крайне преувеличенно. Там, где я живу, нет каких-то значимых проблем за 35 лет моей жизни. А при каких-то проблемах паспорт гражданина ЕСа, идеальное знание английского и местный менталитет позволяет сесть в машину и переехать в любое более спокойное место :)
Кому?
Таки мало того что ssh рвёт, так ещё и mosh работает 3 секунды через 7...
Добавьте в sshd_config параметры:
AllowUsers «список пользователей для доступа»
или AllowGroups для групп доступа.
PermitRootLogin no
PasswordAuthentication no
Останется доступ только по ключам и fail2ban не особо нужен.
Вроде как РКН урезает скорость ssh. Пытался я как-то скачать бэкап сервера через WinSCP - скорость падала сильно...
Работать через ssh ещё можно, но использовать как прокси - сомнительно
С торможением scp сталкивался еще тогда, когда Роскомнадзор занимался полезным делом: гонял плохих провайдеров, которые встраивали рекламу в HTTP, а сайты не тормозил.
Но scp и тогда тормозил заметно...
Я проверял на нескольких разных провах в СПБ - Если тебе надо в ллм постучаться для чата, данный тоннель работает у всех. Не уточнял конкретно у кого конкретный много их. С Ютубом работало практически везде на фуллхд. Самый треш в блокировках идет у Ростелекома, там терминалка как-то работала, остальное по городу и районам СПБ где как.
Вот да! Урезают до 500кбс, скачивать и заливать большие файлы и бэкапы невозможно...
Зависит от сети хостера. У меня на хетцнер - даже работать невозможно, просто фриз через несколько секунд после логина (2-3 раза сделать ls можно успеть). А на другом провайдере (очень лоу-кост, мелкий, и где-то в .опе мира) - хорошо работает. На AWS на большинство хостов - тоже хорошо.
Если ваш провайдер решит резать SSH-трафик, этот метод перестанет работать.
Когда это случится, то, значит, всё. Аллес капут.
Если доступ к терминалам за бугром зарежут, ну да - капут. Железный занавес. Тогда я не знаю как нефтянкой и лесом торговать, голубиной почтой, наверное? А так оно уже тестируется -"белый список" называется: нна тебе порт 433 с сертификатом Минцифры на список "белых" сайтов, все остальные IP и порты будут закрыты. Хер знает чо делать тогда, Старлинк наверно придется для работы брать.
Так не должОн же вроде он работать тут, не?) Санкции, все дела))) Нас, русский народ, не любят ни наши чиновники, ни зарубежные))
Тогда придется госснаб вводить, потому что "кто трусы ребятам шьет, ну конечно не пилот!". Все от оливок и носков до крепежа, которым на аэс турбину к реактору приколачивают - все поставляет мелкий-средний частный бизнес, живучий и гибкий. Можно купить турбину у симеса в рамках спецоперации и доставить через Индию, да. Но если утеряется или сломается один комплектный винтик, который обычно продается за углом - ради него тоже спецоперацию проводить?
Значит, и носки и оливки и винтики и пульты к телевизорам и чехлы для телефонов и кафельную плитку и резиновые сантехнические прокладки и термопасту для процессоров - должны возить "мелкие бизнесмены", а им для этого нужна связь.
Все верно. То что сейчас в РФ убивают мелкий бизнес, в том числе и ограничением связности бизнеса - очень недальновидное решение, гиганты в ровном поле не растут без экосистемы из мелких предприятий.
Ну у наших чиновников же свой, особый путь))) Мелкий бизнес сложно контролировать и разрабатывать для него кучу мелких правил, которые опять же надо следить чтобы выполнялись))
А чиновник наш не такой, ему подавай волшебную кнопку "сделать хорошо", чтобы нажал - и оно само все завертелось. В итоге, видимо, в связи с растущими проблемами в стране им оказалось проще все порезать.
Все верно - это только показывает бесконечный эгоизм власть предержащих, когда все делается для того, чтобы оставить для сбора податей "Магнит" и "Пятерочку". А зачем им вся эта юркая мелочь в виде ИП - пусть разоряются и топают на кассы и заводы. За ней ведь иначе пригляд царский нужен - хлопот много, а дохода мало, да и самостоятельными гражданами чрезвычайно сложно управлять.
Старлинк не транслирует сигнал на территорию РФ
ssh имеет свой отпечаток, он буквально орет "смотрите, я ssh". Поэтому отловить и заблокировать через DPI - как нефиг делать.
Всё верно. Заблокируют доступ в bash — это же сколько серверов сразу завалится без админского присмотра со временем. По моей оценке - 90% серверов без админа валятся за год.
Размещайте приложения в Docker или Kubernetes и ограничивайте количество логов — в сырой системе (из коробки, с правильными настройками) ничего не может сломаться просто так, если она стоит в ДЦ со стабильным интернетом и без проблем с железом. Docker может перезапускать ваши сервисы, если они начинают проваливать проверки health-check, Kubernetes и вовсе просто может откатить сервис до родного состояния.
Источник: 9.5 лет аптайма с 15 года )
Предполагаю - ваша система попала в эти 10% выживших.
Тут такое дело - я как инженер, если буду предполагать, что система должна работать ну лет 50 без пригляда, постараюсь туда функционал добавить для автоматического контроля, автоперезагрузки, чистки всяких логов.
А вот если я предполагаю, что я хотя бы раз в квартал пройдусь по серверу для порядка, накой я буду туда функционал на 50 лет пихать? Много кода - много ошибок.
Последнее время, кстати, в связи с нестабильностью в мире мне все более и более не хочется доверять облакам=чужой компьютер, который завтра может просто умереть.
На практике - покупать чужой VPS более чем на месяц - ну такая лотерея себе.
Хотелось бы деталей по использованию 10 летнего докера….
Задается что месье преувеличивает ….
Хорошо, когда у вас мертвый проект. Ну вот построил фабрику кассетных плееров - и она 200 лет хреначит эти плееры. В живом мире и живом бизнесе сложнее - сегодня плееры, завтра уже CD плееры надо, потом mp3 плееры, потом смартфоны, потом нейроимпланты. И для всего этого и IT инфраструктуру надо настраивать. Я уж не говорю про накатывание апдейтов (и мое убеждение - unattended-updates делают только школьники). Но даже с ними - даже у LTS версий систем есть EOL.
SSH трафик провайдеры не блокируют, но, просто, дико ограничивают. Текстовые сессии потребляют очень мало трафика. А, вот, использование в качестве VPN или -X определяется на ура. Так что... не прокатит....
Так попробуйте в реале, и здесь в коментах расскажите. С реальным кейсом - ну вот я взял с хабра рецепт, а он у меня не заработал. Только приложите все логи сервера пожалста, имя провайдера, ип-адреса. Адрес сервера куда пытались зайти, скорость работы. Обещаю разобрать кейс и дать рекомендацию что делать.
Спасибо, но не стоит. По граблям с использованием туннелей через SSH я уже достаточно походил чтобы тратить на это время. Десять лет назад это нормально работало, и, я активно пользовался. Где-то лет пять назад провайдеры поголовно увлеклись оверселлом ширины канала, и в ход пошли умные шейперы, которые режут скорость TCP соединения через определенное количество скачанных байт.
Т.к. SSH мультиплексирует все через TCP соединение, шейперы режут его нещадно.
Где-то лет пять назад качество подобных решений упало до состояния "нестабильного и медленного подключения, через которое даже не посмотреть ютуб и не посерфить в сети". И, это в те времена, когда сайты были гораздо более легковесными....
Про шейперы я очень в курсе. Наткнуться на шейпинг от прова можно где угодно и когда угодно. Этот рецепт в статье позиционируется не для скачивания или просмотра видео в 4к, а только исключительно для легковесного текстового серфинга.
И очень хорошо, если повезет через этот туннель ютуб смотреть. Меня как технического специалиста для скачивания мануалов и даташитов данное решение практически покрывает 99% запросов.
Да и сразу пописанное чистосердечное признание …
Прежде чем что-то скачать я обязательно сверяюсь со списком: https://minjust.gov.ru/ru/extremist-materials/?page=1 Вот прямо так и делаю: мой даташит по оптронам не входит в данный список - ура его можно скачать.
Проблема 22 порта:Сейчас многие провайдеры (особенно мобильные) режут или замедляют именно SSH протокол. Можно сменить порт SSH сервера на 443 (если там не веб-сервер) или любой рандомный (например, 2222), чтобы снизить вероятность блокировки по стандартному порту.
SSH не блокируют, ему занижают скорость. И делают это не сотовики (там особо не разгонишься), а как раз проводные операторы. Смена порта не помогает — перевешивал и на 2222, и на 443. В общем, тут бьют не по паспорту, бьют по морде тормозят не по порту, а по характерным пакетам. Первые несколько мегабайт летят, потом начинается торможение. Через несколько минут, похоже, сбрасывается какой-то счетчик, все летит, но буквально несколько мегабайт, опять тормоза. Такая вот пила. Админить можно, консоль шустрая, mc не лагает, а вот качать... это просто боль...
Провайдер кто?
Дом.ру :-(
Сложный пров - был у них, ушел. Для скачивания напрямую чего-то не стал туннель юзать. Подумал бы в сторону с сервера скачать сначала в облако - гугль, яндекс, мега, терабокс - потом со своего аккаунта напрямик тянуть.
Сложный пров - был у них, ушел
Мне не уйти, ибо альтернатива — «Ростелеком» по ADSL. :-(
Подумал бы в сторону с сервера скачать сначала в облако - гугль, яндекс, мега, терабокс - потом со своего аккаунта напрямик тянуть.
Боюсь, облака на меня обидятся за многогигабайтные файлы. :-( Некоторое время пробовал «Мегу» использовать, но не так давно и они попали под раздачу...
Вы пробовали несколько соединений устанавливать?
Скорость общая на всю группу или у каждого коннекта своя?
Сталкивался с таким что, из одной сетки типа офиса- канал шейпит общий офисный пров, там кому как повезет, если клиенты сидят в разных сетях мне не удалось добраться до лимита провайдера VPS в 100 мбит, для себя я определил, что для 5 клиентов из разных подсетей не стоит давать больше чем 10 мбит каждому на 1 vps. В теории можно и 10 друзьям раздать по 5 мбит. Повторю - данный рецепт для ненапряжного текстового серфинга крайнего случая.
Пробовал. Как пров видит использование SSH, так все SSH-пакеты начинает тормозить. Похоже, лимиты считают по моему IP, а не источнику. И с заливкой файлов на сервер то же самое.
Подскажите, кто знает: а кто именно режет сайты, на которых кроме технической документации ничего и нет? Какой-нибудь livewire или alpinejs - там ни слова про Путина, однако vpn не грузятся... Недавно слушал подкаст про питон (на "организованном программировании") и там русский человек рассказывал про свой проеки (edgedb, вроде) - так я на сайт этого проекта тоже без ВПН попасть не смог. Ну не может же он "одной стороной рта" в российских подкастах выступать, а другой - резать доступ для россиян... А если это РКН - то с какой целью?? Ничего не понимаю :/
РКН. Цели нет - есть служба. РКН - там политика простая, баним всех в подсетях - господь разберется. Нормальные люди там не работают(или работают под страхом наказания).
А те, что остались тупые и ленивые или корыстные, которым всю совесть деньгами залили. Им одной строкой легче всю сеть забанить, чем разбираться кто там прав, а кто иноагент, который власть хочет свергнуть.
Какой же ты хакер если к нужному серверу достучаться не можешь? Вот и выйдут из ИТ те кто не в теме, останутся истинные гуру
Медаль Роскомнадзора выдана ещё одному чемпиону, указавшему на недоработку...
Дел
К тому что любое обсуждение vpn это помощь Роскомнадзору улучшить блокировки.
Но предполагаю что вы промахнулись с ответом.
Простите, я промахнулся. Моя маршрутка — https://habr.com/ru/articles/974040/comments/#comment_29216556
Не в ту запрыгнул.
Ничего нового я в статье не открыл, все это давно известно. А РКН не блокирует это, только по причине того, что инфраструктура вся посыплется.
Вся эта мышиная возня вокруг VPN - это попытка запретить топоры потому, что где-то когда-то один маньяк топором кого-то зарубил.
Технология-то причем? Вот скажите - как организациям по стране свои филиалы связывать для работы? Открытый трафик гнать по интернету - нет спасибо.
Это совершенно не поэтому. Это было ясно ещё в эпоху раннего Роскомнадзора, хотя тогдашний руководитель и бил пяткой в грудь.
А филиалы... Пообщайтесь с госорганами, послушайте о новых веяниях.
Вся эта мышиная возня вокруг VPN - это попытка запретить топоры потому, что где-то когда-то один маньяк топором кого-то зарубил.
Вся эта мышиная возня вокруг VPN - это попытка запретить топоры потому, что этими топорами пытаются рубить, кого не положено рубить.
А беда в том, что именно так и запрещают: кто-то один сделал что-то нехорошее с помощью какого-то инструмента и этот инструмент запрещают для всех. Ну или как бы не запрещают, но вводят непроходимые процедуры лицензирования и создают несколько десятков тысяч "рабочих" мест для очередной толпы бюрократов. А то, что от этого потом экономика ускоренно летит в анус - так то не их беда, ведь они-то своё дело сделали, поборолись с каким-нибудь страшным злом, а издержки народ как-нибудь вытерпит.
Это извечная проблема отбора управленцев, реальные эксперты не могут подняться до уровня управления, на котором смогут проявить все свои навыки прогнозирования принятия решений на много ходов вперед.
Бюрократы-троечники занявшие место аппаратными играми, по причине скудоумия не видят последствий решения дальше своего носа. А привлечь умных людей к экспертизе последствий не догадываются.
реальные эксперты не могут подняться до уровня управления
Не знаю, есть ли подобная проблема у нас в РКН, но в корпоративной среде вижу ее часто.
Есть капитанский мостик - там все в красивых белых кителях обсуждают стратегические планы, как они на своем Титанике поплывут в Индию, там продадут шерсть, закупятся специями итд. Прикидывают прибыли и бонусы от исхода предприятия.
Есть трюм - там чумазые черти - кочегары и механики что-то там делают. У них есть зарплата, обновленное резюме и они в любой момент готовы пересесть с этого Титаника на соседний, который более бодро выглядит.
Скажут сверху механику что-то сделать - ну сделает. Получит премию. Пофиг, что накопится технический долг, что откроется уязвимость. Его интересы расходятся с интересами руководства. Ему нет нужды испытывать дискомфорт и бить челом перед менеджерами уговаривая, упрашивая их "давайте тут что-то перепишем, обновим, давайте вы свои схемы чуть подкорректируете, ну пожаааалуйста, во имя технической красоты", проводить "работу с возражениями" (потому что менеджеры в белых кителях уже релиз запланировали через месяц). Ему проще отработать и закрыть тикет. А когда Титаник закономерно пойдет ко дну - наш механик с опытом работы, модными кейвордами в резюме и сертификатами легко пересядет на другой. Покорных любят, покорным платят и премируют. Покорные - эффективны по линейке, которой пользуются наверху.
Нужна "внутренняя разведка", такие ныряльщики, которые послушают разговоры на капитанском постике, потом занырнут куда-то в глубины корабля, вылезут чумазые и скажут - хрен вам, а не специи в Индии купить, через 2-3 тысячи км у вас коренной подшипник вала окончательно развалится. Но такие люди приносят плохие новости, а кто ж такое любит? Гораздо приятнее когда гладко на бумаге, диаграммки, стрелочки. В общем, слепцы на капитанском мостике указывают покорным из машинного отделения.
Так весь бизнес и живет - вокруг Титаника ходит множество мелких судов, которые нормально развиваются. Потонул один Титаник, на его место подрастет мелкое суднышко.
Все гораздо хуже с государствами, они также работают, только тонут дольше от неэффективного управления и катастрофа страшнее для кочегаров.
Полагаю, с самого верха идет горизонт планирования не больше 10-15 лет (а может и меньше). Цель - это время чтобы поспокойнее прошло, а дальше там - хоть трава не расти.
Трафик внутри SSH туннеля это TCP внутри TCP. Такому конструкту, чтобы потерять скорость, никакой злой цензор не нужен, он вполне способен сам собой падать до модемных скоростей, утонув в собственных ретрансмитах. Почему-то именно SSH особенно к этому уязвим. Видимо потому, что не предназначен ни для какого трафика.
Если туннель нужен постоянно, надоело руками запускать
ssh -Dпосле каждого перезапуска.А если хочется сделать «и чтобы переподнимался сам, если отвалится», можно использовать
autossh
На windows можно обойтись bat-ником в автозагрузке (и вход по ключу настроить, чтобы пароль не вводить):
@echo off
:reconnect
ssh -D 0.0.0.0:9050 user@extremelyoffline.ru
timeout /t 15
goto reconnect
а ловко ты это придумал, постучался в ру сегмент с забугорной машины, отлетел в бан.
тут как минимум надо не в браузере прокси прописывать, а расширение ставить ZeroOmega и в нем правила выставлять на домены или айпи
В одном браузере прописывать весь сонм правил - плохая практика. Давно уже лучше несколько разных браузеров использовать для разных целей. Основным браузером работаешь как всегда. А когда наткнулся на ограничения - достаешь портативную версию.
Причем рецепт работает как для специалистов внутри периметра, которых ограничивают в доступе та или другая сторона, ну да надо иметь забугорный комп.
Так и для специалистов которые зимуют в Тае для доступа в ру сегмент, тут уже нужен российский комп с терминалом.
Начал читать статью со скепсисом, но всё-таки небольшой затеплившейся надеждой (а вдруг ???), но... уже привычно и обыденно чуда не произошло
Имея VPS за пару долларов
Вы всегда можете предложить альтернативные бесплатные варианты.
Суть не в паре долларов, а в самой необходимости зарубежного VPS. Почему бы об этом прямо не указать в заголовке, или это стало by default...
И в чем проблема? Имея частный самолёт некоторые товарищи, которые совсем не наши товарищи, успешно летают по европам не смотря на все санкции. Кому санкции а «кому мать родная …»
В феврале можно было надеяться, что к марту-апрелю, край - к сентябрю все закончится и как-то нормализуется. А в 2025 году уже надо искать вариантики, которых появилось достаточно.
1. российские хостеры (часто очень бюджетные) с оплатой по СБП и серверами за рубежом
2. российские хостеры с серверами в РФ, но не заблокированными.
3. Казахская или какая-то иная виртуальная карта. (да, 10-15 тысяч вроде, но раз заплатить можно).
4. Виртуальная крипто-карта, подарочная visa/mastercard
5. Просто оплата криптой.
Ну а лоу-енд виртуальные сервера стоят от полудоллара. Можно уж разориться ради сетевой свободы.
Дешево, сердито и работает
Давно уже не все и не везде. Есть куча способов портить работу с прокси не отключая ssh полностью.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Прокси для ленивых: поднимаем SOCKS5 поверх SSH, пока чайник закипает