Развертывание Bitwarden с AWS RDS и Terraform — безопасное и масштабируемое решение
Особое внимание уделено валидации переменных в Terraform , которая помогает избежать ошибок при настройке облачной инфраструктуры.
Я работаю в одной региональной государственной организации, в которой потребовалось внедрить онлайн систему управления документами, умеющую работать с документами формата docx и xlsx.
Конечно прежде чем что-то внедрять происходит анализ существующих решений и целесообразность их внедрения. Казалось бы тут как нельзя кстати походит Р7 офис корпоративный сервер, так как это решение входит в реестр отечественного ПО и нацелено как раз на этот рынок.
Был сделан запрос цены в АО «Р7», но когда руководство увидело предложение от правообладателя Р7, то сразу отклонило это предложение, ведь оказалось, что цена на 2 порядка выше, чем себе это представлял руководитель. Я могу понять правообладателя, ведь он потратил деньги на сертификацию, программистов и т. д., но нашему руководству этого не понять у них бюджет строго ограничен.
Итак задача изменена на внедрить онлайн систему управления документами но настолько дешево насколько это возможно, а лучше бесплатно но удовлетворяющую требованиям безопасности. Из альтернатив остается только применение open source решения only office server вкупе с выполнением рекомендаций по запуску не доверенного ПО в защищенных средах.
Задача усложняется тем, что базовые сервера работают на ОС AStra linux 1.8. Казалось бы в чем сложность? бери готовые docker образы, разворачивай и будет тебе счастье, но не все так просто – согласно одниму из требований по безопасности docker образ должен быть на базе ОС astra linux.
Итак для безопасности применяем 2 системы: система контейнеризации docker, работающая на основе встроенных в ядро linux механизмов изоляции и МКЦ в ОС astra linux. С docker все стандартно, а вот с запуском docker на пониженном уровне целостности пришлось повозиться. Включаем запуск командой sudo astra-docker-isolation enable, запускаем любой образ и получаем ошибку запуска docker. Путем анализа логов удалось обнаружить, что не удается пробросить порт, так как docker не имеет на это прав. После долгих поисков найдено решение написать политику разрешения доступа к firewalld для процесса docker.
История про то, как мы тюнили логи в своем проекте и как это переросло во что-то большее. Возможно кому-то это поможет в своих проектах, кому-то будет просто интересно почитать.
Статья посвящена оркестрации инфраструктуры в гибридных облаках. Описываются подходы к автоматизации сложных рабочих процессов, включая управление конфигурациями, миграции баз данных, динамическое управление инвентарем и кросс-облачную оркестрацию. Особое внимание уделяется отказоустойчивости, масштабируемости и интеграции различных инструментов для обеспечения надежной и эффективной работы распределенных систем.
Совсем недавно, исправляя уязвимости в ядре, я столкнулся с тем, что у меня слетели драйвера NVIDIA. Вот прям совсем, даже nvidia-smi не отрабатывала. На тот момент я еще не подозревал, что впереди меня ждет приключение на несколько часов.
В этой статье я хочу поделиться опытом решения данной проблемы, но ни в коем случае не настаиваю, что мой способ/мнение - единственно верное. И буду очень рад, если вы поделитесь своим опытом выхода из подобной ситуации!
Привет. Я в очередной раз экспериментирую с разными дистрибутивами Linux из прошлого, и я решил накатить один из самых древних Linux-дистрибутивов за всю его историю - Slackware 1.01.
Привет. Начну опять с погружения в атмосферу юниксоида.
Вы приходите с работы, где у вас стоит дорогущий workstation на базе какой-нибудь SunOS, HP-UX, или какого-нибудь Ultrix. И вам надо примерно тоже самое (по UX), но дома, на вашем 486-м, или даже на Пентиуме. Windows 3.1/3.11 вам не нравится - "Windows must die", DOS для вас уже убог, по сравнению с Юниксами. SCO тоже не нравится - SVR3.2 же, уже не в моде. Coherent - тоже морально устарел.
Навыки решения неизвестных Вам проблем в Linux, требуют определенного уровня понимания Linux. Установка 1С на Linux рано или поздно приведет Вас к изучению SElinux (Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including mandatory access controls (MAC)). Самое простое его отключить — это единственный выход, который предлагает 1С на ИТС. Но в корпоративной среде, Вам это не разрешит администратор и тогда приходится изучать логи и думать. Рассматривайте это не как очередную проблему Linux, а как хорошую возможность понять как работает Linux изнутри. К сожалению, чем больше сталкиваешься с SELinux, тем больше вопросов к логичности архитектуры Linux. Статья показывает как выжить с SElinux сложном практическом кейсе из импортозамещения в 1С.
Привет. Представьте, что вы ярый юниксоид, вам не нравится новая на тот момент Windows 95, и вам нужен тот же юзер-экспириенс, что на вашей юникс-машине, на обычном ПК.
SCO не подходит по очевидной причине - дорого, и выглядит слишком протухшим. Миникс - чисто учебная ОС. Какой-нибудь Кохерент - тоже не актуально уже. Но вы узнаёте про такую штуку, как Linux, и юниксовый мир переворачивается на все 180 градусов. Вы понимаете, что теперь можете получить юникс-подобную ОС абсолютно бесплатно (заплатив 3-5$/час, а то и больше Релкому/Демосу/Инфорису какому-нибудь, за скачивание этого добра с глобальной компьютерной информационной сети Internet), либо за копеечную стоимость уже на готовом носителе где-нибудь на Горбушке (free software же).
Сейчас расскажу, как я, 19-летний зумер-фидошник, запускает всё это добро через 86Box.
Еще один редкий UNIX из далекого прошлого, который вы врядли могли видеть в живую, был возвращен из небытия и выведен в интернет.
Привет, Хабр! Сегодня поделюсь своим опытом джейлбрейка Kindle Paperwhite 7-го поколения с прошивкой 5.16.2.1.1: я попробовал установить стороннее ПО и даже запустить полноценный дистрибутив Linux. И сразу дисклеймер: у меня была устаревшая читалка, я заскучал и затеял все это ради эксперимента — повторять за мной не рекомендую. Иначе в лучшем случе можно лишиться гарантии, в худшем — окирпичить аппарат без возможности восстановления. Так что берите кофеек с любимой печенькой, глубоко дышите и смотрите, что получилось. Поехали!
Настройка алиасов (alias, псевдоним команды) была одной из первых задач, которую я решал, редактируя конфигурационные файлы (dotfiles) в Unix-подобных ОС. Вот пример одного из моих очень ранних алиасов:
alias g=git
Благодаря этой конструкции я могу, когда мне это нужно, вызвать, вместо команды git, команду g. Это позволяет сэкономить немного времени при использовании тех команд, к которым я прибегаю десятки раз в день!
# Теперь эти две команды равноценны:
git status
g status
Раньше я задавал псевдонимы команд с помощью команды alias. В конце концов… я ведь создавал то, что называется «alias»!
Но со временем я понял, что мне, похоже, удалось найти лучший способ создания альтернативных версий команд. Он заключается использовании скриптов в переменной окружения $PATH.
Извините, но в 2025 году — это просто смешно:
$ time ./configure: 13.80s user 12.72s system 69% cpu 38.018 total
Многие разработчики работают в Linux-среде, но не всегда глубоко понимают, как взаимодействие с ОС происходит на низком уровне. На собеседованиях всё чаще спрашивают про системные вызовы Linux. В этой статье мы рассмотрим, какие вызовы встречаются чаще всего и как они работают.
Привет, Хаброжители!
Исторически первая версия far2l — порта Far Manager на Linux, BSD и Mac, была реализована как графическое приложение. Терминалы той эпохи не умели ни передавать приложению некоторые сочетания клавиш (такие как Control+Enter), ни давать ему возможность взаимодействия с буфером обмена. Кому же нужен Far без этих возможностей? Поэтому пришлось сделать своё собственное консольное окно со своим собственным рендерингом текста — да, усложнение, зато всё сразу заработало «как-в-Винде» (а потом и консольную версию сделали тоже). И сегодня мы празднуем историческое событие: графическая версия, наиболее полная в плане соответствия UX Windows-версии, попала, наконец, в официальные репозитории Ubuntu:
На дворе 1994й год, Джей и Молчаливый Боб только начинают тусить «у фасада одного магазина» в Джерси, а компьютеры Apple продаются с настоящим юниксом.
Увы, но 90е давно закончились, Джей и Боб постарели — внезапно Джею уже за 50 (и двое детей), зато осталась возможность оживить давно умершее и насладиться духом тех удивительных лет.
Что мы сейчас и будем делать.
Это не новость, но вопрос всплывает достаточно часто, поэтому я считаю, что проблему нужно объяснить кратко. Люди, и я в том числе, обычно говорят, что время POSIX, также известное как время Unix — это количество of секунд, прошедших с эпохи Unix, то есть с 00:00:00 1970-01-01.
Но это не так. Точнее, не так в смысле, подразумеваемом большинством. Например, сейчас у меня на часах 2024-12-25, 18:51:26 UTC. Время POSIX равно 1735152686. Прошло 1735152713 секунд с эпохи POSIX. Число времени POSIX на двадцать семь секунд меньше.
Причина в том, что время POSIX вычисляется в IEEE 1003.1 из Coordinated Universal Time. Стандарт предполагает, что каждый день — это ровно 86400 секунд. Цитата:
Встречайте suex и sush – su и sudo в новом формате.
Эти современные решения, написанные на чистом C, появились как упрощенные альтернативы для тех, кто считает традиционные su и sudo чрезмерно сложными.
Обычно Talos Linux предоставляется в виде набора готовых образов под различные системы.
Стандартный метод установки предполагает, что вы возьмёте подготовленный образ под конкретное облако или гипервизор и просто создадите из него виртуальную машину. Если же говорить о физических серверах, то предполагается, что для загрузки образа Talos Linux и последующей установки вы будете использовать ISO или PXE.
К сожалению, это не работает, когда речь заходит о провайдерах, которые предоставляют преднастроенный сервер или виртуальную машину без возможности использовать кастомный образ или даже ISO для установки через KVM. В этом случае ваш выбор будет ограничен лишь теми дистрибутивами, которые предлагает облачный провайдер.
