Как стать автором
Поиск
Написать публикацию
Обновить
192.36

Серверное администрирование *

Установка, настройка, обслуживание

Сначала показывать
Порог рейтинга
Уровень сложности

Как подружить Bitwarden CLI с пайплайном деплоя

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров551

Недавно впервые занялся деплоем своих проектов и столкнулся с привычной для новичка проблемой: как аккуратно подгружать секреты для бэкенда и фронтенда. На словах всё просто: подключи .env. На деле — копипаст, дублирование, отсутствие истории и точного контроля доступа.

Решение — Bitwarden Secrets Manager + CLI. Централизованно храним ключи, раздаём доступ выборочно и автоматически подтягиваем их при деплое. В статье покажу, как настроить всё с Docker, NestJS, Vite и Coolify, чтобы деплой стал безопасным и удобным.

Читать далее

Новости

Тихий герой воскресного утра: как bash-скрипт спас нас от OOM Killer

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров3.8K

Привет, Хабр! Статья не входила в планы, пишу с чувством лёгкой сюрреалистичности. В воскресенье утром наш основной API-гейтвей пережил маленькую апокалиптическую битву с памятью и выиграл без моего участия. Делюсь с Вами, как небольшой скрипт, на который я не полагал абсолютно никаких надежд, отработал аварию.

Читать далее

Пароли не там, где вы их оставили. Как работает DOM Clickjacking

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров645

Если честно, менеджеры паролей давно стали для меня чем‑то вроде зубной щётки. Пользуюсь каждый день, но задумываюсь о них только тогда, когда что‑то идёт не так. Обычно всё просто: клик — и нужная форма заполнена. Красота. Но именно эта красота может сыграть злую шутку. Совсем недавно я наткнулся на исследование про DOM Clickjacking, и понял, что даже привычное «автозаполнить» может подставить.

В отличие от старого доброго clickjacking с iframe, здесь никто ничего поверх не накладывает. Всё хитрее: страница сама превращается в ловушку. Менеджер паролей видит поле логина и честно вставляет туда пароль. А пользователь (ну то есть мы с вами) жмёт на кнопку и уверен, что всё нормально. На самом деле клик улетает в невидимый элемент, и данные — вместе с ним. Честно говоря, когда я это увидел на демо, стало немного не по себе.

Есть три главные причины, почему расширения ведутся на такой обман. Во‑первых, некоторые из них слишком доверчиво вставляют пароль сразу, без всякого подтверждения. Во‑вторых, они проверяют только домен верхнего уровня. А если у сайта есть хитрый поддомен — привет, уязвимость. И в‑третьих, далеко не все разработчики заморачиваются с CSP, поэтому любой внедрённый скрипт может вытворять с DOM что угодно.

Проверить страницу самому несложно. Открываете DevTools, смотрите на элементы. Если видите кучу строк с opacity:0 или position:absolute; left:-9999px — повод насторожиться. В Chrome во вкладке Layers это особенно хорошо видно. Для любителей автоматизации есть и короткий скрипт на JavaScript, который подсветит такие штуки.

Читать далее

Как успешно мигрировать с Oracle на Postgres Pro Enterprise

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров1.5K

Миграция с Oracle в «ванильный» PostgreSQL ломается на пакетах, автономных транзакциях и коллекциях — там их просто нет. Разбираем, почему ora2pg спотыкается, что дает нативная реализация этих механизмов в Postgres Pro Enterprise и как ora2pgpro переводит PL/SQL семантически точно, без костылей и регулярок.

Читать далее

Как работает DNS в Linux. Часть 3:  Разбираемся с resolv.conf, systemd-resolved, NetworkManager и другими

Уровень сложностиСредний
Время на прочтение15 мин
Количество просмотров8.9K

Теоретическую основу кэширования DNS в Linux мы разбирали в первой части, где говорили про работу процесса разрешения имен — от вызова getaddrinfo() до получения IP-адреса. Вторая часть была посвящена различным уровням кэшей самой системы, приложений и языков программирования, контейнеров, прокси - а также их мониторингу и сбросу. Теперь самое время перейти к практике.

Если вы когда-либо запускали подряд команды ping, curl, dig и получали разные IP-адреса, вы не одиноки. Поведение DNS в Linux — не просто вызов getaddrinfo(). Это взаимодействие множества слоёв: от glibc и NSS до NetworkManager, systemd-resolved, dnsmasq и облачных конфигураций. В этой части разберем практические аспекты DNS:

почему одинаковые запросы дают разные IP

как реально контролируется разрешение имен: что вызывает кого и зачем

как проводить диагностику: strace, resolvectl, tcpdump

Читать далее

RTX Pro 2000, 4000 SFF и 6000 Blackwell: новое поколение видеокарт NVIDIA

Время на прочтение7 мин
Количество просмотров1K

Видеокарты NVIDIA на архитектуре Blackwell в очередной раз трансформируют рынок GPU. Три новые модели — RTX Pro 2000 Blackwell, RTX Pro 4000 SFF Blackwell Edition и RTX Pro 6000 Blackwell — делают технологии AI и высокопроизводительных вычислений более доступными для широкого круга компаний.

В этой статье мы рассмотрим характеристики, возможности и потенциальные сценарии использования новых серверных GPU NVIDIA Blackwell начального и среднего уровня, которые выйдут на рынок до конца 2025 года.

Читать далее

Цифровые часы ZABBIX для версии ниже 7.0

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров3.7K

В этой статье показано, как создать электронные часы и описано, как создавать виджеты для Zabbix младших версий, ниже версии 7.0, где этого функционала не предусмотрено инструкцией Zabbix. Данная статья актуальна, так как до сих пор на большинстве проектов используется Zabbix младших версий. Особенно часто используется Zabbix младших версий из репозитория Astra Linux для проектов на этой системе. В репозитории для Astra Linux ниже 1.8, а также в других репозиториях Linux часто используется Zabbix версии ниже 7.0. В результате чего, на объектах, от системных инженеров поступают замечания на стандартные аналоговые часы Zabbix, которые совершенно не информативны. Эта статья решает проблему отсутствия электронных часов в Zabbix путём изменения стандартного виджета Zabbix clock, добавляя ему возможность выбора типа часов, сохраняя остальные настройки. Результат работы кода показан на рисунке 1 и 4.

Читать далее

Цифровая гигиена в облаке: фильтруем трафик с помощью групп безопасности

Время на прочтение6 мин
Количество просмотров2.9K

Облачный файрвол удобен, когда нужно оперативно обеспечить сетевую безопасность для приватных сетей и публичных IP-адресов. Он назначается на внутренний порт роутера, подключенного к приватной сети, и фильтрует весь трафик, который отправляется с виртуальной машины в интернет и обратно. Итого, облачным файрволом всего за пару кликов можно обезопасить всю сеть.

Но ограничить трафик на уровне всего — не всегда подходящее решение. Бывает, нужно обеспечить контроль на уровне сетевого интерфейса конкретного инстанса, то есть виртуальной машины. Например, чтобы закрыть все порты, кроме 80, если у вас на нем работает публичный веб-сервис на nginx. Тогда на сцену выходят группы безопасности, они же — Security groups.

В этой статье мы рассмотрим, что такое группы безопасности и как они работают в теории и на практике. Подробности под катом! 

Читать далее

Как не попасть на плохой хостинг: топ-15 признаков

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров8.5K

Что сложного в том, чтобы выбрать себе VDS? Смотришь на тарифы, характеристики, SLA и… попадаешь на ненадежного провайдера, у которого сервер падает без предупреждения, поддержка сводит всё к перезагрузке, а счета растут сами по себе. Чтобы не оказаться в такой ситуации, важно выбирать хостера не только по витрине на сайте. Собрал для вас топ-лист из тревожных звоночков. Приглашаю под кат. 

Узнать признаки

Shardman. Краткое пособие архитектора

Время на прочтение31 мин
Количество просмотров5.5K

Миф о волшебном параметре fast=true жив и здоров, но в распределённых СУБД появляется ещё один — distributed=true. Ни тот, ни другой не спасут, если не пересобрать схему, ключи шардирования, последовательности, запросы и процесс миграции. Мы трезво проходим по всем углам: от выбора ключей и colocated-таблиц до CDC, топологий и ограничений внешних ключей; показываем, где действительно ускорится, а где станет дороже — и что с этим делать.

Читать далее

You shall not pass: как мы внедрили строгую валидацию API в нашем SBC

Время на прочтение4 мин
Количество просмотров353

Когда вы открываете REST API своего сервиса во внешний мир, вы приглашаете не только легитимных клиентов, но и потенциальных злоумышленников. API по сути становится линией боевого соприкосновения. Сегодня уже недостаточно просто проверять права доступа или надеяться, что фронтенд не отправит «плохой» запрос, да и WAF перестает быть панацеей.

Для защиты от потенциальных злоумышленников мы в IVA Technologies реализовали механизм строгой валидации API прямо на уровне сетевого периметра — в нашем продукте IVA SBC (Session Border Controller). Механизм позволяет не только фильтровать трафик, но и полноценно проверять каждый запрос на соответствие актуальной модели API, автоматически синхронизируемой с основным приложением.

Рассказываем, как устроена эта функция, какие задачи решает — и почему на рынке почти нет аналогов.

Читать далее

Подключение к нескольким Linux-серверам по SSH без ввода пароля: пошаговое руководство

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров9.4K

Я давно работаю с Linux-серверами, и одна из вещей, которая меня всегда раздражала, — это постоянный ввод паролей при подключении по SSH. Представьте: у вас несколько машин, и каждый раз стучать по клавишам, вспоминая, какой там пароль... Но есть простое решение — использовать SSH-ключи. Это как цифровой пропуск: один раз настроил, и дальше всё идёт как по маслу. В этой статье я расскажу, как это сделать шаг за шагом, особенно если вы новичок в Linux или SSH. Я постараюсь объяснить все термины по-человечески, без лишней зауми, и добавлю пару советов из личного опыта. Давайте разберёмся!

Читать далее

История IP-KVM в дата-центрах Selectel, или прелесть open source-проектов

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров7K

Как же удобно пользоваться персональным компьютером или ноутбуком, ведь монитор и клавиатура всегда под рукой. Но что делать, если оборудование расположено далеко и получить непосредственный доступ для подключения затруднительно? Сложно представить такое ограничение? Для инженеров дата-центров это стандартная проблема. Настолько стандартная, что уже и не проблема, а специфика работы.

Конечно, никто «жонглировать вслепую» не собирается — поэтому и выработался уже целый пул решений для работы с оборудованием. Один из вариантов — использовать IP-KVM.

Меня зовут Макс, я системный инженер в Selectel. В этой небольшой статье расскажу, как мы пришли к нынешнему виду наших IP-KVM и какие трудности нам пришлось пройти. Наша история — под катом!

Начать крафт

Ближайшие события

Создание и использование СMDB объектов виртуальной инфраструктуры в процессах сопровождения информационных систем

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров732

Мир стремится к упорядоченности. Нам хочется, чтобы все лежало по полочкам, все процессы были систематизированы, а нужную вещь можно было быстро найти даже с закрытыми глазами. Если для порядка в домах придумали контейнеры, органайзеры и системы хранения, то в ИТ-сфере эту задачу выполняет CMDB.

Читать далее

Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.5K

Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем.

Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой».

Истории из ИБ‑практики:

Читать далее

Когда воздуха мало: как жидкость охлаждает топовые Xeon и Epyc

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2.6K

Когда в одном процессоре работают до 192 ядер и выделяется 500 Вт тепловой энергии, обычные вентиляторы уже на грани. Эта тенденция заставляет производителей серверов обращаться к более эффективной технологии — жидкостному охлаждению. В статье разберемся, как оно работает, в чём его плюсы и минусы. А еще покажем топовые решения для мощных процессоров AMD и Intel на примере одного из лидеров рынка — Dell.

Читать далее

AWS удалил мой 10‑летний аккаунт и все данные без предупреждения

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров9.6K

Я 10 лет был клиентом AWS и контрибьютором проектов с открытым исходным кодом, а они удалили мой аккаунт и все данные без какого‑либо предупреждения. Ниже — история о том, как «верификация» у AWS превратилась в цифровую казнь и почему нельзя доверять облачным провайдерам, если у вас нет копий данных вне облака.

На 23 июля 2025 года AWS удалил мой аккаунт, которому было 10 лет, и каждый байт данных, который я там хранил. Без предупреждения. Без льготного периода. Без возможности восстановления. Произошла полная цифровая аннигиляция.

Ниже я расскажу историю о катастрофической внутренней ошибке в AWS MENA, 20 днях кошмарного общения с поддержкой, в ходе которого я так и не получил прямого ответа на вопрос «Мои данные ещё существуют?», и о том, что всё это показывает в отношении доверия облачным провайдерам.

Читать далее

Postgres Pro TDE — безопасность и производительность

Уровень сложностиСредний
Время на прочтение18 мин
Количество просмотров2.2K

TDE бывает разным: от шифрования на уровне TAM до полного кодирования всего кластера и меток tablespace. Мы сравниваем Percona, Cybertec/EDB, Pangolin/Fujitsu и показываем, где теряется производительность и надёжность, а где появляется гибкость. Дополнительно замдиректора департамента разработки продуктов Василий Бернштейн и старший инженер по ИБ Владимир Абрамов расскажут о том, как в Postgres Pro Enterprise реализована ротация ключей без полного переписывания таблиц и почему выбран AES‑GCM.

Читать далее

ClickHouse не тормозит, но теряет данные. Часть 3 — материализованные представления

Время на прочтение7 мин
Количество просмотров2.9K

ClickHouse не тормозит, но теряет данные. Набор простых действий с объяснениями, позволяющий избежать потери данных.

Читать далее

Nextcloud для дома: Snap, Docker или …? Пошаговый гайд для простых людей

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров12K

Привет, Хабр! Меня зовут Даня Гербовец, я разработчик в международной компании Garage Eight. Сегодня хочу поделиться своим опытом, как можно поднять собственное домашнее облако — быстро, понятно и недорого.

Почему я вообще пришел к идее развернуть у себя Nextcloud? Всё просто: огромное количество файлов. Фото и видео в наше время занимают куда больше места, а надежности смартфонов я не доверяю. Я начал интересоваться облачными хранилищами, но довольно быстро понял: если хочется действительно много места за адекватный прайс, нужен свой сервер.

Всё оказалось не так сложно, как кажется на первый взгляд, — расскажу по шагам, какие есть варианты установки, что выбрать и на что стоит обратить внимание.

Читать далее
1
23 ...

Вклад авторов