Обновить
256K+

Настройка Linux *

Вечный кайф

80,86
Рейтинг
Сначала показывать
Порог рейтинга
Уровень сложности

Сквозная аутентификация в Linux: настройка Kerberos, интеграция с браузером и автоматизация через Keytab

Уровень сложностиСредний
Время на прочтение35 мин
Охват и читатели11K

Масштабный переход на отечественные ИТ-решения ставит перед системными инженерами и разработчиками задачу глубокого освоения базовых механизмов корпоративной безопасности. В основе современных российских экосистем управления инфраструктурой (таких как ALD Pro на базе Astra Linux) лежит программный комплекс FreeIPA. Главным фундаментом доверия, централизованной авторизации и безопасности в этой экосистеме выступает протокол Kerberos. Его корректное понимание и настройка определяют стабильность работы всех смежных сервисов — от сетевых папок до сложных корпоративных веб-приложений.

В этой статье детально разберем «анатомию» Kerberos в среде Linux и покажем, как заставить этот протокол эффективно работать на стыке системного администрирования и веб-разработки. Пройдем полный практический путь, разделенный на несколько логических этапов:

Читать далее

Installer на стероидах. Модификация установочных образов Astra linux

Уровень сложностиСредний
Время на прочтение16 мин
Охват и читатели11K

У каждого своё чувство перфекционизма. В этой статье я покажу примеры модификации live installer Astra linux, чтобы вы могли создать автономный дистрибутив своей мечты.

Читать далее

Re:HomeProxy для OpenWRT: оболочка для sing-box и hiddify-core, AmneziaWG, подписок и обхода DPI (ByeDPI, Zapret2)

Уровень сложностиПростой
Время на прочтение20 мин
Охват и читатели33K

Это гайд по настройке VPN на роутере с OpenWRT через веб-интерфейс Re:HomeProxy. Оно поддерживает два ядра на выбор — hiddify-core или sing-box-extended — и самый широкий набор протоколов на сегодняшний день: NaiveProxy, Mieru, ShadowTLS, AmneziaWG, Hysteria2, VLESS (в т.ч. XHTTP), Trojan, TUIC, Shadowsocks и другие, а также импорт узлов по подпискам (subscription). Также возможна установка компонентов в один клик прямо из интерфейса

Помимо обычного прокси, в приложение встроены два движка обхода DPI без VPNByeDPI и Zapret 2 с предустановленными стратегиями и механизмом их подбора. Плюс — готовые правила маршрутизации для России в один клик.

Статья содержит инструкцию по установке и настройке VPN с раздельным туннелированием за несколько минут, а также подробное описание режимов и меню настроек

Читать далее

SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике

Уровень сложностиСредний
Время на прочтение11 мин
Охват и читатели17K

В статье пойдет речь о SELinux. Главная моя задача — провести быстрый онбординг о том, как работать с политиками доступов. Я хочу показать, что это вовсе не так сложно, как может показаться на первый взгляд. Буквально 15 минут ознакомления с базовыми понятиями дает 80% понимания как работать с SELinux более уверенно.

Статья не совсем про написание политик, скорее про их понимание. Все описанное необходимо, чтобы уверенно пользоваться утилитами, более осмысленно работать с системой, решать проблемы и задачи, с которыми придется столкнуться в процессе эксплуатации SELinux.

Читать далее

3a: Формат и тулинг для создания ASCII-анимаций

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели9.8K

Под катом рассказываю про 3a формат для ASCII анимаций, тулинг для работы с ним и коллекцию opensource ASCII артов для ваших cli/tui приложений, игр и постов в r/unixporn.

Читать далее

Btrfs и btrbk: лёгкий и быстрый инкрементальный бэкап сервера и домашнего ПК

Уровень сложностиСредний
Время на прочтение21 мин
Охват и читатели18K

Старая сисадминская пословица гласит: люди делятся на две категории — на тех, кто уже делает резервные копии, и тех, кто только будет их делать.

Связка Btrfs + btrbk — это революция в мире бакапа. Ещё никогда не было так просто и быстро создавать дифференциальные резервные копии. Никаких лицензий и подписок — всё полностью бесплатно и встроено в ядро Linux.

Читать далее

Оверклокинг умер, да здравствует андервольтинг: как современные процессоры перестали разгонять и начали оптимизировать

Уровень сложностиСредний
Время на прочтение13 мин
Охват и читатели13K

Неделю назад друг собрал себе новый компьютер. Ничего экстремального: материнская плата Gigabyte B760 Gaming AX, процессор Intel Core i5-14600KF, башенный кулер, корпус с приличной продувкой. Включил, поставил Windows, запустил OCCT — через несколько секунд температура улетела в 100°C, процессор ушёл в тротлинг.

Друг написал мне: «У меня нормально или нет?». Хороший кулер, правильная термопаста, продуваемый корпус, новейший процессор за 30 тысяч рублей. Не нормально.

Оказалось — это не уникальная ситуация. Тысячи людей с 13/14 поколением Intel видят то же самое. И решение везде одно: залезь в BIOS и понизь напряжение. То есть сделай прямо противоположное тому, что десятилетиями понималось под «настройкой для энтузиастов».

Под катом — почему так вышло, как разгон превратился в андервольтинг, и что с этим делать конкретно на Intel Raptor Lake, AMD Ryzen 9000 и Intel Arrow Lake.

Читать далее

Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели11K

Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды. Давайте познакомимся теперь внимательнее со всеми этими возможностями.

Читать далее

Linux: Права доступа

Уровень сложностиСредний
Время на прочтение12 мин
Охват и читатели16K

Продолжаем серию рубрики Linux. В прошлой серии разобрали пользователей и группы – UID, GID, /etc/passwd. Теперь разберём что ядро делает с этими числами когда процесс пытается открыть файл или войти в директорию. Про права доступа легко выучить команды – chmod 755, chown user file – но не понимать что происходит под капотом. Тогда начинаются странные ситуации: «я же владелец, почему Permission denied?». Цель этой статьи – кратко но в достаточной форме рассказать про права доступа.

Вся статья построена на практике: каждый раздел можно пройти руками. Для большинства примеров достаточно обычного пользователя, для части нужен sudo. Где нужен – отмечено явно. Серия в основном под Ubuntu/Debian.

В конце статьи будет бонус который даст вам возможность изучить права доступа в Linux ещё доступнее и возможно проще.

Обновление статьи: 2026-05-14

Читать

Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux

Уровень сложностиСредний
Время на прочтение7 мин
Охват и читатели11K

Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.

Читать далее

Самое подробное руководство по использованию утилиты ktpass в среде Active Directory

Уровень сложностиСредний
Время на прочтение16 мин
Охват и читатели9.4K

Давайте разберем как с помощью утилиты ktpass.exe создавать гарантированно рабочие файлы keytab. Подробно и с примерами рассмотрим каждый параметр утилитыktpass.exe. А самое интересное - вы узнаете неочевидные факты о принципах использования salt при генерации ключей Kerberos, из-за которой получаются нерабочие ключи AES. В этом поможет инспекция базы ntds.dit командлетами DSInternals.

Читать далее

Рецензия на книгу «Сети Linux. Модели и приложения» — от TCP/IP до ядра и сетей будущего

Уровень сложностиПростой
Время на прочтение9 мин
Охват и читатели11K

В этой рецензии хотим привлечь внимание к последней прижизненной книге по Linux известного автора Олега Цилюрика. Книги по сетям обычно делятся на две категории: либо это классические учебники по протоколу TCP/IP и сетевым утилитам, либо практические руководства по настройке конкретных сервисов. Книга «Сети Linux. Модели и приложения» объединяет оба подхода — и в этом ее главное отличие.

Читать далее

Ubuntu 26.04 LTS: на что смотреть перед миграцией с 24.04

Уровень сложностиПростой
Время на прочтение8 мин
Охват и читатели17K

23 апреля Canonical выпустил Ubuntu 26.04 LTS — Resolute Raccoon. Про сам релиз уже написали все, поэтому не будем повторяться — и посмотрим на релиз с другой стороны.

Ниже — небольшой список того, на что обратить внимание при миграции, и краткий обзор изменений, которые на эту миграцию влияют.

Читать далее

Ближайшие события

Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC

Время на прочтение16 мин
Охват и читатели22K

Если вы сейчас вкатываетесь в Linux на фоне хайпа вокруг DevOps и инфобеза — статья для вас.

Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.

Читать далее

Bomb has been defused. Управление питанием батареи Mobian на OnePlus 6

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели9K

TL;DR: Я ранее установил Mobian (linux-дистрибутив, на основе Debian) на смартфон OnePlus 6. Теперь разбираюсь с потенциальным возгоранием батареи. Определил основной источник рисков. Решил защитить батарею от перезаряда, разряда и перегрева. Реализовал сервис для systemd, который реализует эту защиту на уровне управления драйвером зарядки устройства, на основе данных с батареи. Репозиторий.

Для начала представлюсь – я Деревянкин Павел, менеджер продукта электронных визиток MyQRcards, в прошлом мобильный разработчик в этом же продукте.

В комментариях к предыдущей статье, где я рассказывал, как устанавливал Mobian на OnePlus 6, чтобы сделать из него домашний сервер, возник вопрос о возможности взрыва батареи на устройстве.

Первая мысль, которая меня посетила, было отключить батарею вовсе, припаять диод и питаться только от внешнего источника питания. Но это убивает один из плюсов сервера на телефоне - по сути встроенного ИБП. Учитывая, что в телефон на Mobian вполне можно вставить SIM-карту и использовать интернет с неё, то можно построить довольно защищённую от перебоев систему, которая по стабильности уже начнёт спорить с гораздо более дорогими решениями. Поэтому всё же, я решил разобраться, что можно сделать, чтобы защитить аккумулятор.

UPD Ну и в итоге ещё пришлось залезть в код драйвера

Читать далее

Дружба Linux и Windows, или как поиграться с ИИ-моделями на втором компьютере без видеокарты

Уровень сложностиПростой
Время на прочтение13 мин
Охват и читатели12K

Работаете под Windows? Есть лишний компьютер? Нет видеокарты, но хотите сами запускать ИИ-модели? Тогда

делаем как на картинке, по шагам.

Неочевидные нюансы миграции с Docker на Podman

Время на прочтение7 мин
Охват и читатели17K

Миграция на Podman — вопрос достаточно интересный. И ответ на него достаточно простой — берете и мигрируете, там делов-то!

Но на самом деле это только верхушка айcберга. Сначала кажется, что все просто. А потом оказывается, что нужно решить много спорных моментов и учесть кучу мелочей. Сегодня я расскажу, на что стоит обратить внимание и стоит ли игра свеч. Поехали, порассуждаем про миграцию из Docker в Podman.

Читать далее

Podman Compose: как устроен, что умеет, чем отличается от Docker Compose

Время на прочтение5 мин
Охват и читатели14K

Если у вас есть конфигурационный файл docker‑compose.yml, то в большинстве случаев его можно запустить через Podman без переписывания. Так вы, с одной стороны, сохраните привычный воркфлоу, а с другой — получите преимущества rootless‑контейнеров. В Docker же для запуска compose-файлов раньше использовалась внешняя утилита Docker Compose, но спустя время Docker внедрил возможность запускать такие файлы нативно через Docker Compose plugin.

Да, старый способ запуска все еще актуален. Его можно встретить на легаси-проектах, но лучше все-таки использовать современные методы и не тащить за собой старье.

В Podman аналогично есть Podman Compose — подкоманда, которая запускает внешний провайдер. В качестве такого провайдера может выступать Docker Compose / docker‑compose. Вот во всем этом сегодня и разберемся.

Читать далее

Создаём брандмауэр при помощи eBPF и контрольных групп

Уровень сложностиСложный
Время на прочтение11 мин
Охват и читатели12K

Технология eBPF — интересная штука. С её помощью можно без труда внедрять в ядро Linux фрагменты кода, которые затем компилируются в коды операций (опкоды), которые гарантированно не обрушат работу ядра. Набор допустимых инструкций ограничен, переходы назад не допускаются (поэтому не будет никаких неопределённых циклов). При этом вы не можете разыменовывать указатели, но вместо этого можете выполнять проверяемые операции считывания через указатели, которые потенциально могут оказаться неудачными, но при этом не спровоцируют паник на всю систему. eBPF в ядре Linux можно закреплять в тысячах хуков (точек перехвата), в качестве которых могут выступать u-пробы, k-пробы, точки трассировки и даже такие штуки как отказы страниц. У eBPF есть целый спектр захватывающих возможностей, которые при этом очень активно разрабатываются. Фичи, поддерживаемые в каждой конкретной версии ядра, перечислены в виде списка по этому адресу.

Читать далее

Прозрачный прокси-шлюз на роутере: VLESS + Reality + TPROXY на OpenWrt от А до Я

Уровень сложностиСложный
Время на прочтение29 мин
Охват и читатели120K

Десять устройств дома, и каждому нужен прозрачный доступ к моей удалённой инфраструктуре. Ставить клиент защищённого канала на телевизор и колонку — невозможно, на телефон — клиент «молча» отключается, и трафик идёт мимо канала.

Я настроил прозрачный прокси-шлюз на роутере: VLESS+Reality+XTLS-Vision через TPROXY на OpenWrt. Сплит-роутинг по GeoIP и доменам, автообновление списка серверов из подписки каждые 30 минут, балансировка по задержке, procd с автоперезапуском. В статье — полный путь от коробочного Cudy TR3000 до рабочей системы: nftables, policy routing, base64-декодер на awk и все баги, которые я нашёл по дороге.

Часть 2: https://habr.com/ru/articles/1028954/

Читать далее