Администрирование

Начитавшись за последние пару месяцев статей про вайбкодинг и воодушевившись, что сейчас в микрофон ноута скажу «ОК Гугл, сделай мне скрипт для кодирования фото и видео архива за 15 лет» и далее как в фильме Она (2013), нейросеть мне разберет по полочкам, то что откладывалось и накапливалось.. Я столкнулся с суровой реальность :( Но дело сделал! Поэтапное решение под катом.

За последние пару лет в интернете скопилось много статей на данную тему, так зачем же еще одна? Лично для меня была проблема в том, чтобы найти всю информацию по базовой настройке сервера (обновление, защита и т.д.) и в дополнение к этому быстрый способ настройки VLESS в одной статье. Обычно я натыкался на статьи, где есть настройка панели 3X-UI (и то, как я понял, читая комментарии под такими статьями, не всегда правильная) без базовой настройки самого VPS, либо статьи, где всё написано слишком детально, а «много букав» читать, да ещё в последствии воспроизводить самому многим лениво в наше время.

Поэтому в данной инструкции я решил собрать в одном месте и базовую настройку сервера (которую может сделать практически любой, не слишком мудря с настройками), так и настройку Xray без панели 3X-UI всего за пару скриптов.

«Основным недостатком волнового метода маршрутизации является дополнительная нагрузка, которая создает­ся передачей поисковой посылки во все стороны, в том числе и в про­тивоположную сторону от УП». Поэтому предлагается некий локально-волновой метод маршрутизации, который «состоит в том, что для нахождения кратчайшего маршрута в сети между парой узлов из УИ организуется волновой поиск, но не во всех направлениях, а лишь в сторону УП».

Однако как автор волнового метода маршрутизации выражаю своё несогласие только с такой трактовкой возможностей волнового метода и поэтому предлагаю на конкретных примерах рассмотреть другие варианты.

Не все инсталляторы linux могут установить систему на btrfs subvolume. Ни один инсталлятор не может установить систему с применением nocow и compress только для определенных subvolume.

На примере Astra linux 1.8.4 с максимальным уровнем защищенности (включен МКЦ и МРД) и написанных мною скриптов для автоматизации я покажу, как перенести установленную систему на btrfs subvolume, а также установить nocow только у необходимых subvolume. Дополнительно будет описан второй скрипт для создания и восстановления снимков.

Fail2Ban долго был про «поставил и забыл», но сейчас он всё чаще работает как сигнализация, которая орёт уже после того, как дверь подёргали десятки раз — и каждый рывок остаётся в логах. Мы перевели сервер управления Netbird с Fail2Ban на CrowdSec и собрали это в практический разбор: как читать JSON-логи Caddy без плясок с регулярками, как вешать блокировки на nftables, и почему community threat intel позволяет отрезать часть сканеров ещё до того, как они успевают что-то «прощупать». По ходу рассмотрим конфиги, команды и наблюдения, что именно меняется в шуме, банах и нагрузке.

В сетевых метриках VDS/VPS легко запутаться, потому что каких их только нет. В статье разберу ключевые, расскажу, как их читать, и посоветую 10 лучших утилит для мониторинга сети. 

Coolify — это инструмент с открытым исходным кодом, который позволяет легко устанавливать на своём сервере разные приложения: сайты, базы данных, сервисы, скрипты, боты и остальное.

В прошлых статьях из этой серии мы уже разобрались, как подготовить сервер и домен, а также, как установить и настроить Coolify на сервере.

А сегодня мы наконец будем рассматривать установку приложений. Сначала по шагам разберёмся, как это происходит в целом, а затем продемонстрируем процесс на конкретных примерах.

А вы тоже слышали байку о том, что облако по сравнению с онпрем-инфраструктурой получается едва ли не дешевле электричества из розетки, а PAYG – справедливее коммунизма? Нет, в целом принцип и правда выглядит очень честно: сколько заказал – столько и заплати. Как в ресторане. На практике такого, конечно, чаще всего бывает. Но чего всегда бывает в избытке – так это претензий финотдела, который кого угодно сведет с ума, допытываясь, почему растут счета. А кто бы их знал? Продакшн стабилен, метрики зеленые, архитектура давно устоялась – причин для роста как будто и нет. Но компании то и дело выходят за рамки бюджетов.

Когда проект Kubernetes только начинал свой путь, вопрос как пустить трафик в кластер решался просто: как-нибудь. Сервисы торчали наружу через NodePort, потом появился LoadBalancer, а чуть позже — объект Ingress, который на долгие годы стал стандартной точкой входа в HTTP-мир Kubernetes.

Ingress был своевременным решением. Он дал декларативный способ описывать маршрутизацию, TLS и виртуальные хосты, не заставляя инженеров напрямую настраивать nginx-конфиги или HAProxy руками. Для своего времени — шаг вперёд, и весьма заметный. Проблема в том, что Kubernetes рос быстрее, чем сам Ingress.

Со временем выяснилось, что спецификация Ingress намеренно минималистична. В ней нет ни чёткого разделения ответственности, ни расширяемой модели, ни нормального способа описывать сложные сценарии маршрутизации. Всё, что выходило за рамки базового use case, уезжало в аннотации ingress-контроллеров. В результате у нас появился единый стандарт, который на практике вёл себя по-разному в зависимости от того, какой контроллер стоял в кластере. Формально — Ingress, фактически — vendor-specific конфигурация с YAML-обвязкой.

Часто в учебной литературе по Linux приведены скучные и неинтересные примеры написания модулей ядра. Я решил исправить этот пробел и показать, что разработка небольшого модуля — это задача под силу многим, если понимаешь базовые принципы разработки программ.

Безопасная эксплуатация ноутбуков, или Защита мастер-ключа LUKS с помощью пользовательского ключа на USB-накопителе

Как мы уже знаем из первой части, система LUKS подбирает параметры хеширования ключей таким образом, чтобы для проверки одной парольной фразы нужно было не менее секунды, в связи с чем для взлома пароля длиной 8 символов требуется более ста миллионов лет. Однако рост производительности CPU/GPU и развитие квантовых технологий может привести к тому, что лет через десять текущие оценки окажутся неактуальными, поэтому с учетом будущих угроз длину пароля можно увеличить, и LUKS позволяет использовать фразы длиной до 512 символов. Тем не менее, каждый дополнительный символ существенно усложняет пользовательский опыт и повышает шансы того, что пользователь просто забудет свой пароль и потеряет доступ к данным. Сегодня мы покажем, как можно защитить мастер-ключ LUKS с помощью случайного пользовательского ключа, который трудно подобрать, легко потерять и невозможно забыть.

NanoKVM — это компактное IP-KVM устройство от Sipeed, позволяет удалённо управлять компьютером: видеть экран, управлять клавиатурой и мышью, монтировать образы дисков — всё через веб-интерфейс в браузере.

По умолчанию NanoKVM доступен только в локальной сети. В этой статье я расскажу как с помощью туннеля Tuna вы можете открыть доступ к нему через интернет — без «белого» IP, без VPN, без проброса портов на роутере, а также мониторить доступность устройства в целом при поможи мониторов Tuna.

Итак, обследование проведено, целевая архитектура спроектирована. Для тех, кто не понимает о чем речь, предлагаю сделать шаг назад и ознакомиться с предыдущими этапами: 

Как я сделал приложение для обхода Discord и YouTube на macOS (и Windows тоже)

TL;DR: Написал open-source десктопное приложение UnblockPro на Electron, которое в один клик обходит DPI-блокировки Discord, YouTube и других сервисов. Работает на macOS и Windows. Без VPN, без серверов, без абонентки. Код на GitHub — by-sonic/unblock-pro.

Зачем вообще это было нужно

С осени 2024 года ситуация с доступом к Discord и YouTube в России стала, мягко говоря, непростой. VPN — вариант, но:

Платные сервисы стоят денег и сливают скорость

Бесплатные — сливают данные

Не все работают стабильно

Настраивать VPN для каждого устройства — боль

Записки системного администратора о поиске маленьких ошибок приводящих к большим проблемам. Делюсь опытом поиска плавающих проблем в различном ПО и способом их решения.

Я много лет мечтал построить свою облачную платформу — и если раньше я пытался реализовать эту мечту в рамках нескольких компаний и проектов, то в последние годы я запустил собственный проект, Cozystack. В своей статье я расскажу о нашем опыте и о том, как, на мой взгляд, стоит подходить к созданию современной инфраструктурной платформы, в основе которой — Kubernetes и Kubernetes API.

Я разберу платформенный подход: что такое платформы, как они работают, кому нужны и как построить свою. А также сравню разные архитектуры для платформ, расскажу, почему мы остановились именно на K8s как на ключевой технологии, и покажу, как мы собрали на его основе production-решение.

На практике NCALayer нередко устанавливается «успешно», но без нужных модулей:
ЭЦП не определяется, внешние системы не работают, а повторная установка не помогает.

Разбор конфигураций, Java-параметров и логов — путь рабочий, но не всегда оправданный по времени.

Если вы собираете метрики через VictoriaMetrics, вы работаете в облаках, у вас большая инфраструктура, развернутая в нескольких зонах доступности, то в какой-то момент заметите, что счета за метрики начинают составлять ощутимый процент в счете за инфраструктуру.

Иногда этот момент совпадает с провалами в графиках, из за того, что вы перегрузили сервис мониторинга своего облачного провайдера.

Прошло уже достаточно много времени с того момента, когда случилась изоляция России от мирового рынка IT. Нам пророчили кромешную тьму: что все технологии для нас будут изолированы, что мы откатимся назад в 90-е, у нас будут только калькуляторы (а может даже и их не будет), а мы потихоньку будем доставать счёты. И первое время действительно была паника, хаос, все бегали и не понимали, что делать. Насколько я помню, даже из-за проблем с логистикой огромное количество купленных заказов было просто остановлено на границах европейских стран – и так не приехало к нам.

Все высокотехнологичные вендоры очень быстро начали останавливать свою работу, оказание сервиса. И действительно, инфраструктура по всей России оказалась под угрозой, так как большинство привыкло, что производители из-за рубежа нам всегда помогут, а с купленной техподдержкой SLA был прибит гвоздями и работал как швейцарские часы. Конечно, иногда бывали сбои, но все равно это был наш устоявшийся мир, в котором было комфортно, уютно и стабильно.

Тикет летит три дня. А человек, который написал код, сидит в двух метрах. Сдвинули стул и запустили цепную реакцию — в итоге замкнули «круг боли» и превратили рутину в удовольствие.