Установка, настройка, обслуживание
Историю Linux обычно рассказывают как историю об удачном ядре. На деле это ещё и история лицензии GPL, которая повлияла на рынок, культуру разработки и саму архитектуру экосистемы. Но что было бы, если Linux пошёл по пути BSD? Альтернативный сценарий представил в статье, заходите похоливарить в комментарии.
В малом и среднем бизнесе ИТ-аутсорсинг часто начинается не с аудита и архитектуры, а с подписания абонентского договора. В результате подрядчик тонет в заявках, а инфраструктура продолжает работать как попало. При этом владелец бизнеса ждет от «поддержки» и починку вчерашних проблем, и построение завтрашних сервисов в рамках одной фиксированной платы. Через несколько месяцев становится ясно, что количество инцидентов растет, а риски не уменьшаются.
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS.
В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh, bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik.
Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует.
Привет, Хабр! Летом мы рассказывали о сложном, но очень интересном пути в создании UEFI-загрузчика для серверных продуктов компании OpenYard. Теперь хочется перейти к его постоянному спутнику ― BMC, без которого сегодня трудно представить полноценную серверную платформу.
В этой статье поделюсь инструкцией по переносу, в которой учтены неочевидные баги несовместимости Traefik 3 с Docker API, политика безопасности свежего Postgres и конфликты ключей шифрования.
VPN в России формально не запрещён.
Но если вы попробуете сегодня поднять свой VPN на российском VPS — есть шанс, что завтра вам просто отключат сервер.
Без суда. Без объяснений. Просто потому что «так надо».
В пакет «Антифрод 2.0» тихо добавили правки, которые превращают хостинг-провайдеров из нейтральных посредников в контролёров. Теперь они должны проверять клиентов, сверяться с базами Роскомнадзора и, если что — разрывать договор.
Как хостер должен понять, что у вас внутри VPS — корпоративный VPN или «неправильный» туннель?
Как отличить разработчика, который подключается к серверу, от человека, который просто смотрит YouTube?
И главное — кто будет платить за весь этот контроль?
Параллельно происходит ещё кое-что:
- операторы замораживают расширение каналов в Европу
- крупные сервисы уже режут пользователей с VPN
- из App Store исчезают десятки "неугодных" VPN-сервисов
- бизнесу рассылают методички «как искать VPN»
Всё это начинает складываться в систему.
Не запретить напрямую — а сделать использование максимально неудобным, дорогим и рискованным.
Гайки закручиваются. И в этот раз — не только для «обходчиков блокировок».
— Дед, Gmail опять всё перекрутил. Письма теряются, половина — реклама, интерфейс другой, ничего не понятно. Ты же у нас главный по всяким проводам, придумай что‑нибудь.
Я посмотрел на него, потом на старый систем ник в углу комнаты, на наш деревенский интернет, который любит падать в самый неподходящий момент, и вдруг поймал себя на мысли: а действительно, почему бы не попробовать завести почту «по‑стариковски» — на своём домене, на своём сервере, со своими правилами. Не потому что я лучше Google, а потому что интересно понять, сколько сегодня стоит «своя почта» для обычного человека из глуши и можно ли на ней жить в реальном, а не лабораторном деревенском быту.
Начал я, как ни странно, не с железа, а с имени.
Объяснил внуку, что домен — это человеческое имя вместо голых цифр. Ящик vnyuk@ded-v-derevne.ru звучит всё‑таки повеселее, чем vanya2008_mega@какой‑нибудь‑бесплатный‑сервис. Домен зарегистрировали, я зашёл в панель и занялся тем, что обычно никого не волнует, пока всё работает, — настройкой записей, которые говорят остальному миру, куда нести письма.
Рассказывал внуку на пальцах: вот у нас есть «адрес дома» — запись, где написано, на какой IP смотреть, когда кто‑то ищет ded-v-derevne.ru. Есть особая запись для почты — мол, «письма складывать вот сюда, в этот ящик на сервере». Есть ещё строка с перечислением тех, кому вообще можно доверять отправку писем от нашего имени — чтобы спамеры не прикидывались нами. Для него это звучало как какая‑то бюрократия, для меня — как привычная настройка, которой просто давно не занимался.
Вы нормально знаете Ceph, пулы, RGW, где смотреть логи и почему внезапно полезли 403. Вопрос в другом: вокруг кластера живут люди, которым нужен не Ceph, а S3 как диск в облаке. Им нужно залить билд, вытащить дамп, перекинуть префикс между стендами, выдать временную ссылку, проверить, что объект реально лежит и какой у него размер. Без чтения ceph -w s3cmd rados etc, без объяснений про placement groups и без вашего участия в каждой мелочи.
CLI и скрипты вы держите для себя и для пайплайнов.
Консоль облака у вас может быть про другой контур. А типичный пользователь упирается в простую вещь: хочу окно с таблицей, перетаскиванием и понятной ошибкой, а не пятнадцать шагов «спроси админа».
Отсюда и смысл отдельного десктопного клиента под S3 API: не заменить вам эксплуатацию, а снять с вас поток однотипных ручных запросов и дать людям самообслуживание в рамках выданных ключей и политик.
Привет Хабр! Это небольшой рассказ о моей домашней лаборатории на которой я обучаюсь различным решениям необходимых DevOps‑инженеру. Для начала пробежимся мини‑обзором оборудования, а после — расскажу о том, над чем еще стоит поработать.
Все ругают пароли, но продолжают их вводить. Даже там, где уже есть токены, OAuth и биометрия, привычная строка «Введите пароль» никуда не делась. Кажется, мы привыкли к боли, но у этой устойчивости есть вполне рациональные причины…
Заходите, расскажу вам правдивую историю про эпоху мейнфреймов, технический долг Unix и иллюзию беспарольного доступа, а также разберу замены и поделюсь классными парольными утилитами.
С 1 сентября 2026 зарегистрировать или продлить домен .ru/.рф/.su можно только через Госуслуги. Закон 569-ФЗ принят, подзаконные акты опубликованы. Разбираю, что конкретно меняется: идентификация через ЕСИА, реестр регистраторов, стоп-листы, переходный период для существующих доменов. И почему мошенники просто уйдут в .com.
Привет, Хабр!
Когда только купили домен и впервые пытаетесь понять, с чего начинается настройка HTTPS, вы почти наверняка запутаетесь в тоннах инструкций, в которых вас чуть ли не заваливают техническими терминами.
Проблема даже не в сложности как таковой. Проблема в том, что под “поставить SSL” могут скрываться совершенно разные сценарии.
У кого-то сайт крутится на VPS с nginx, у другого - Apache, у третьего вообще непонятно, куда смотрит домен и почему проверка владения доменом не проходит. По этой причине одна и та же команда из интернета срабатывает с первого раза, а у кого-то заканчивается ошибкой и потерянным вечером.
Итак, в этой статье мы разберемся, что вообще нужно для HTTPS и что стоит проверить перед настройкой. И тихо, но верно пойдем по нескольким путям для корректной установки сертификата.
AI-агент для управления VPS через Telegram
В прошлой статье я показал идею: AI-агент на VPS, который позволяет управлять сервером через Telegram и практически забыть про SSH.
Главный вопрос в комментариях был один: «Как это повторить у себя?»
В этой статье — полный разбор и готовый open-source комплект, который можно развернуть за ~10 минут:
docker-compose конфигурация
набор bash-скриптов для управления сервером
конфиги агента
deploy-скрипт
Разбираем архитектуру, инструменты и принципы работы, чтобы это был не «чёрный ящик», а понятная система, которую можно адаптировать под себя.
Привет, Хабр!
Это — третья часть «Внедрения VMware Horizon глазами инженера». В этот раз разберёмся с сетевой связностью, из чего вообще состоит Horizon и как именовать весь этот «зоопарк».
В предыдущих частях:
Сетевое оборудование
В прошлой статье я обещал слегка окунуться в мир сетевого оборудования.
Закрыть тему vSAN, не разобравшись со схемой сети, невозможно. Предполагается, что читатель уже знаком с базовыми принципами сетевой модели ESXi/vSphere — иначе только этой теме пришлось бы посвящать отдельный цикл статей.
Существует множество подходов к построению сети для кластеров VDI. Мы рассмотрим один из практических вариантов — тот, который используем сами в ПИК, — и на его основе набросаем типовую схему подключения ESXi к коммутаторам. Нам потребуется как минимум три отдельных сети. Две из них (для ВМ и vSAN) должны быть высокоскоростными — 10, а лучше 25 гигабит.
Я посадил AI-агента на свой VPS и перестал открывать SSH. На сервере крутится дюжина Docker-контейнеров — клиентские проекты, SaaS, мониторинг, базы. Раньше любая мелочь требовала SSH: глянуть логи, рестартнуть контейнер, проверить место на диске.
Теперь я пишу в Telegram «память за 90%, разберись» — и через минуту получаю ответ: что случилось, что починил, сколько памяти сейчас.
В статье — реальные сценарии: SQL-запросы к PostgreSQL из Telegram, автодиагностика упавших сайтов, правка конфигов, мониторинг с авторестартом и управление задачами в YouTrack. Всё через кастомные shell-скрипты и AI-агент OpenClaw.
3-я статья из цикла туториалов о том, как можно кастомизировать свой бизнес-портал в Битрикс24.
Сегодня рассказываем о плюсах воспроизводимого окружения для разработки. Такую среду можно переносить между машинами разработчиков и деплоить на сервер, при этом работать у всех всё будет одинаково.
В качестве практической части выполним деплой нашей переносимой среды на VPS, чтобы посмотреть, как именно происходит перенос всех зависимостей и насколько это сложно сделать с помощью AI-агентов.
Разбор HTTP/HTTPS‑трафика, потерянных заголовков и умирающих сессий съедает время, особенно когда всё это приходится делать консольными утилитами или через логи. Под катом я собрал 10 инструментов, которые помогут в дебаге запросов и сэкономят нервы.
Разбираем Common Vulnerability Scoring System – что скрывается за цифрой от 0 до 10, как читать базовые, временные и контекстные метрики, и где искать актуальную информацию об уязвимостях.
Этот текст родился из разговоров с руководителями, у кого ИТ живет отдельной жизнью. Вроде все есть — сервера, админы, регламенты, — а по факту то кассы встали, то 1С не отвечает, то люди боятся сказать, что что‑то сломали. После каждого инцидента начинаются поиски «крайнего», но толку от этого мало.
Меня зовут Мария Богданова, я веду проекты в ALP ITSM и часто приезжаю в компании именно «на пожар». Где‑то вытащили данные после шифровальщика, где‑то разбирали, почему заявки в ИТ теряются в переписке и мессенджерах. Истории разные, но суть одна и та же. ИТ как будто есть, а доверия к нему нет.
В статье разбираю пару таких историй и показываю, что происходит, когда ставка делается на наказание, а не на процессы. И заодно рассказываю, как нормальный ИТ‑аудит помогает не «повесить всех собак» на одного человека, а понять, где реально проблемы в культуре и в организации работы.
341 вредоносный навык на 2857 проверенных — и это только то, что нашли. Навыки в OpenClaw — это не плагины и не контент. Это инструкции, по которым агент читает файлы, запускает команды и ходит в сеть. Одна неудачная установка из ClawHub — и вы отдали незнакомцу выполнение кода в привилегированной среде. Разбираемся, как устроена система навыков, как писать свои, где они хранятся, почему порядок приоритета важнее, чем кажется, — и что делать, чтобы удобство не обернулось инцидентом.