Администрирование

Поддерживать стабильную работу сетевой инфраструктуры крупного предприятия — задача непростая. Взаимодействие промышленных и корпоративных сетевых сред на предприятиях требуют гибкого подхода к сетевым архитектурам. Именно здесь особенно важна грамотно спроектированная маршрутизация и устойчивость соединений. Правильный выбор BGP-решений, будь то внутренний iBGP или внешний eBGP, оказывает значительное влияние на производительность и отказоустойчивость сетевой инфраструктуры.

В этой статье мы рассмотрим протоколы iBGP и eBGP и поговорим о том, в каких случаях будет предпочтительнее использование каждого из них. Но для начала давайте разберемся с основными понятиями.

В прошлом году я писал на Хабре про Telescope - инструмент для просмотра логов через веб-интерфейс. Тогда основной сценарий был связан с ClickHouse, и в комментариях логично возник вопрос: не "прибит" ли инструмент к одной базе данных.

Технически - нет. Модель источников изначально задумывалась расширяемой. Позже появилась поддержка Docker, чтобы Telescope можно было использовать и в локальной разработке, без централизованного хранилища логов.

В версии 0.0.24 добавлен ещё один тип источника логов - Kubernetes. Теперь Telescope может напрямую читать логи pod-ов через Kubernetes API, сохраняя ту же модель прав доступа и язык фильтрации.

В этом посте хочу показать, что было добавлено в проект и чем это может быть полезно на практике.

В статье описан способ быстрого превращения обычного VPS с Debian 13 в полноценный OpenWrt роутер за 20 секунд одной командой.

Обычно мы используем СУБД как инструмент: учитываем нюансы синтаксиса, оптимизатора, утилит и поведения движка — и решаем прикладные задачи. Но недавно, разворачивая очередной PostgreSQL‑кластер для продакшена, я поймал себя на мысли: не слишком ли много всего нужно поднять вокруг PostgreSQL, чтобы система работала одновременно безопасно и предсказуемо по производительности?

В последнее время ФНС все активнее смещает фокус в сторону цифрового контроля за операциями бизнеса. Я отчетливо наблюдал зарождение этого тренда, еще работая внутри системы налоговых органов. Налоговый мониторинг и АУСН - яркие тому примеры: стартовав как экспериментальные пилотные проекты, они быстро масштабировались и стали одними из важнейших инструментов налогового контроля.

Именно такой формат электронного онлайн-взаимодействия то будущее, которое готовит нам ФНС. Техническую и правовую базу АУСН я уже разбирал в статье «АУСН: налоговый оазис или цифровой концлагерь для бизнеса?». А в этой статье разберу инфраструктуру налогового мониторинга. Что этот режим представляет собой на практике, и где чаще всего «ломается» интеграция.

Добавить каталог в PATH кажется тривиальной задачей – пока всё не перестаёт работать. Почему команда «не найдена», какой файл конфигурации действительно читает ваш shell и что именно вы добавляете в переменную окружения? В статье – аккуратный разбор этого процесса с практическими проверками и типичными ловушками, в которые регулярно попадают начинающие администраторы Linux.

Казалось бы, права на чтение — что с них взять? Оказывается, в Kubernetes разрешение nodes/proxy GET позволяет выполнять любой код в любых подах кластера. Уязвимость уже нашли в популярных Helm-чартах, включая Prometheus, Datadog и Grafana. И да, команда Kubernetes решила это не исправлять.

Привет, Хабр! Меня зовут Ольга, я инженер по автоматизации в компании РЕД СОФТ. Моя работа – превращать сложные и рутинные задачи системных администраторов в простые и понятные конфигурации в РЕД АДМ. Сегодня поговорим о системе, которая у многих администраторов вызывает легкую (или не очень) дрожь – о SELinux.

История одной диагностики, которая затянулась, но закончилась хеппи-эндом

Если у вас MikroTik, два провайдера, настроена балансировка (PCC), вы включили DNS-over-HTTPS (DoH) для безопасности, а IPTV на Android-приставке работает с перебоями или замирает при включении второго WAN канала — эта статья для вас.

Я прошёл этот путь от начала до конца и хочу поделиться готовым решением.

Проблема: IPTV на Android-приставке работало стабильно только при отключённом одном из провайдеров. При двух активных каналах видео начинало "замирать" через некоторое время после переключения каналов.

Для многих технических специалистов AWX на протяжении многих лет был синонимом «бесплатного Ansible Tower» — надёжным и функциональным решением для управления Ansible-автоматизацией. Это был стандарт де-факто для тех, кто хотел получить удобство (практически) "коробочного" решения и функциональность корпоративного уровня, не вкладываясь в лицензии коммерческого решения.

Однако 2 июля 2024 года вышел релиз AWX версии 24.6.1, который стал последним на данный момент выпуском проекта. С тех пор прошло более полутора лет, а новых релизов так и не появилось. В репозитории проекта на GitHub висит предупреждение: «Releases of this project are now paused during a large scale refactoring». Для сообщества, активно использующего или планирующего использовать AWX как основной инструмент централизованного управления Ansible-автоматизацией, эта ситуация вызывает закономерные вопросы: Что происходит с проектом? Есть ли у него будущее?

Для конечного пользователя не совсем очевидно, но AWX не умирает, а кардинально трансформируется. В данной статье мы разберем текущую ситуацию вокруг AWX, опираясь на официальные анонсы, технические дискуссии разработчиков и статусы ключевых проектов. Проанализируем архитектурные изменения проекта. Разберемся, почему эти изменения были неизбежны, что именно было «вырезано» из проекта и что всё это значит для вас — инженеров ИТ инфраструктуры и архитекторов автоматизации, которые используют AWX в своей работе и проектах.

Начав изучать тему терминалов в Linux, вы можете почувствовать, что по отдельности вроде бы всё понятно, но разница между понятиями и их суть всё равно ускользает. Консоль, терминал, TTY, виртуальная консоль, виртуальный терминал, эмулятор терминала, оболочка — это просто «вот то чёрное окошко, куда вводят команды Linux». На самом деле за этим окошком скрывается целая цепочка разных сущностей — от компонентов ядра до пользовательских программ. Цель данной статьи — объяснить подсистему TTY и избавить вас от этого неприятного ощущения.

В работе с системами управления идентификацией, такими как ALD PRO (решение на базе FreeIPA), администраторы часто сталкиваются с рутинными операциями, которые в веб-интерфейсе выполняются долго и не поддаются автоматизации. Одна из таких задач — массовое создание и клонирование ролей с сохранением политик и привилегий.

Я хотел решить именно эту проблему: быстро копировать существующие роли в ALD PRO для новых организационных подразделений (OU), сохраняя все настройки и права. Веб-интерфейс не позволял делать это быстро, а главное — не давал возможности интегрироваться с системами автоматизации.

В этой статье я расскажу о четырёх этапах эволюции решения и базовых принципах для написания своих собственных плагинов для ваших решений.

Цель проекта — проверить отказоустойчивость Strimzi Kafka в Kubernetes с помощью chaos-экспериментов (Chaos Mesh). Для этого разворачивается полный стенд: кластер Kafka (KRaft, 3 контроллера + 3 брокера), мониторинг (VictoriaMetrics K8s Stack, Grafana), сбор логов (VictoriaLogs), верификация сквозной доставки сообщений через Redis и Go-приложения producer/consumer. Затем последовательно применяются chaos-сценарии (pod-kill, network partition, CPU/memory stress, IO/DNS/JVM/HTTP chaos и др.) и проверяется, что кластер корректно восстанавливается без потери данных.

TLDR: Создана рабочая легковесная реализация AmneziaWG для Mikrotik для подключения к AmneziaWG серверам.

Оффлайн (!) генератор на основе AWG-конфига

Github

upd: Добавлена поддержка протокола AmneziaWG v2.

Если вам всё равно, сколько это стоит, дальше можно не читать.
Автор

Привет, Хабр! Я Олег Ассур, CTO SafeMobile. В праздники прочитал статью про MDM за 60 минут. Вспомнил, как выглядел наш продукт десять лет назад и решил рассказать, что вас ждёт после быстрого прототипа. В этом году нашему продукту исполнится 17 лет. За это время мы с командой съели не один пуд соли в мире MDM. Под катом поделимся, какие кактусы ждут вас на этом пути. Вошли и вышли. Приключение на 20 минут.

Спасибо команде Samsung, что приютили нашу статью у себя блоге и ничего в ней не изменили 😉

Давно чесались руки завести в своем хоумлабе нормальный ARM-сервер. До этого выбор был так себе: либо дохлые одноплатники, либо Apple на стероидах за конские деньги, либо пляски с Asahi Linux, которые в последнее время что-то совсем не радуют скоростью

И тут Minisforum выкатили MS-R1. У меня в стойке уже трудятся два их собрата MS-01 (заменили прожорливые башни от HPE), так что я решил — надо брать. Тем более, это ARM V9 на 12 ядер, с ECC и двумя 10-гигабитными портами. Цена вопроса — около $559 (брал barebone-версию), что на фоне Apple выглядит просто подарком.

Как запустить веб-панель в AutoCraft-Bot 1.1.8
Ниже простой сценарий запуска без обязательной настройки Telegram. Это удобно, если нужна именно веб-панель и вы хотите сначала проверить её отдельно.
Запустите AutoCraft-Bot 1.1.8.
Данные для работы с Telegram можно сразу не заполнять.
Откройте раздел «Функции».
Зайдите в «Настройки веб-панели».
В поле пароля администратора задайте свой пароль и нажмите «Сменить пароль».
При необходимости включите галочку автозапуска веб-панели.
Нажмите «Запустить панель».
Нажмите «Показать адрес» и откройте указанный адрес в браузере.
Есть и второй вариант: в основном окне AutoCraft есть кнопка «Открыть панель». Если панель уже запущена, браузер откроется сразу. Если не запущена, сначала нужно запустить её из настроек веб-панели.
Логин и пароль
По умолчанию логин администратора:
admin
Пароль:
либо сгенерированный системой;
либо тот, который вы установили вручную в настройках веб-панели.
Почему я сделал отдельный веб-интерфейс
Telegram-управление в AutoCraft никуда не делось, но на практике мне пришлось развивать отдельный веб-контур. Одна из причин это нестабильная ситуация с доступом к Telegram в России и связанные с этим ограничения по рабочим сценариям.
В итоге веб-интерфейс оказался не просто «обходным вариантом», а в ряде задач даже удобнее:
лучше подходит для длительной работы;
удобнее для ролей и разграничения прав;
проще для аудита и просмотра журналов;
естественнее для многосекционного интерфейса (таблицы, разделы, формы, администрирование).
Ограничения и текущие нюансы

В этой статье хотелось бы рассмотреть, как организовать репозиторий программных пакетов с ограниченным доступом с практическими примерами. Такой репозиторий может быть полезен в разных ситуациях.

Мы в Beeline Cloud говорили о том, каким видели 2026-й год десять лет назад. На этот раз предлагаем поговорить о прогнозах в сфере информационной безопасности, которые делают сегодня — каким может быть этот год и дальнейшее развитие событий. Специалисты отмечают стремление хакеров накопить как можно больше зашифрованных данных (например, чтобы расшифровать их с появлением квантовых компьютеров), а также указывают на рост числа атак с использованием открытых решений.

Первое. Предупреждаю заранее. Эта статья не является технической, и ничего нового конкретно в техническом плане вы из неё не вынесите. Это просто повторение и закрепление тех вещей, которые я пытаюсь продвигать уже который раз.

Второе. Некоторым может показаться, что в статье много негатива. Я не испытываю неприязни или ненависти к каким-то конкретным людям. Не потому, что я добрый. А потому, что я рассматриваю их как явление. Как некоторую стихию, которую невозможно победить и перевоспитать. И моё несогласие с законами физики никак не избавит меня от последствий, если я вдруг решу выпрыгнуть в окно. Со стихией бороться бесполезно, такие люди были, есть и будут всегда и везде. Можете назвать это не явлением, можете назвать это типажом. Очевидно также, что конкретный человек может включать в себе несколько типажей и менять их с течением лет под воздействием внешних обстоятельств. И сам я не исключение.

Третье. Разбирать ситуации я буду на примере системного администрирования. Но вы можете подставлять свои должности и технологии, суть не поменяется.

Четвёртое. Многим кажется, что я то встаю на сторону руководителей, то на сторону простых сотрудников. Прочитав эту статью до конца вы поймёте, на чьей я стороне.