Серверное администрирование *

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Привет, Хабр! В первой части я разобрал основы rsync: синтаксис, ключевые опции и работу по SSH. Эти аспекты позволяют эффективно пользоваться утилитой на базовом уровне. В этой статье заглянем «под капот» и научимся тонко контролировать весь процесс синхронизации и диагностировать проблемы с производительностью...

Что в статье:

— Фильтрация;
— Экономичные бэкапы;
— Диагностика и решение проблем.

Привет, Хабр! В арсенале системного администратора и разработчика есть множество инструментов для переноса данных. Мы копируем файлы десятки раз в день: cp для локальных копий, scp для удалённых серверов. Но что если задача сложнее? Нужно не просто скопировать, а синхронизировать два дерева файлов, дёргая по сети лишь изменившиеся данные? Или поддерживать в актуальном состоянии зеркало веб‑контента?

О чём эта статья?
— Фундамент: как правильно путями в rsync и почему слеш в конце решает всё;
— Два основных режима работы: локально, с сервером;
— Разбор флага -a: что скрывается под капотом; — Главные опции: как сделать вывод подробным, а работу — безопасной; — Синхронизация поверх SSH: работа с нестандартными портами; — Самые опасные «грабли» и как их избежать.

Нет ничего более постоянного, чем временное решение. Любой айтишник хоть раз лепил костыль на скорую руку — потом перепишем, потом сделаем нормально. Но «потом» обычно не наступает, и в итоге времянка живет в продакшене годами, переживает релизы и смену команд, а иногда становится частью продукта. У индустрии полно баек о том, как костыли превращались в легенды. В этой статье собрал самые интересные случаи из истории ИТ. Приглашаю под кат. 

В недавней статье об SSL‑сертификатах, точнее, в комментариях к ней, затронули вопрос, который похоже создает для многих головную боль: как обновлять сертификаты от Let's Encrypt? Ведь сертификаты выдаются на 3 месяца, а потом их надо обновлять.

Конечно, есть Certbot, есть софт, который умеет сам получать и обновлять сертификаты — но вопрос возник именно по тому софту, который сам не умеет (а подключить Certbot почему‑то не получается)

Когда‑то у меня тоже возник такой вопрос, и почему‑то не устроил Certbot — не помню уже точную причину. Решил проблему иначе.

Подробный обзор Dell PowerEdge R7725: 2U сервер на AMD EPYC 9005 с поддержкой 40 NVMe E3.S дисков. Тесты производительности в ИИ, HPC и хранилищных задачах. Узнайте, почему это "швейцарский нож" для современных ЦОД и как он сравнивается с конкурентами.

Оригинал этой статьи НЕ загружается с веб-сервера, работающего на одноразовом вейпе. Если вы хотите увидеть сам сервер, то это можно сделать здесь. В остальном контент идентичен.

Предыстория

Уже пару лет я собираю коллекцию одноразовых вейпов, полученных от друзей и членов семьи. Поначалу я только извлекал аккумуляторы для «будущих» проектов (это точно не синдром Плюшкина), но в последнее время одноразовые вейпы стали гораздо более продвинутыми. Не хотел бы я быть юристом, которому придётся доказывать, что устройство с разъёмом USB C и перезаряжаемым аккумулятором можно классифицировать, как «одноразовое». К счастью, в ближайшее время я не планирую подаваться в юриспруденцию.

В прошлом году я разбирал одну из этих технологичных сосок для взрослых и заметил нечто любопытное: вместо обычной чёрной капли, которой заливают ASIC (Application Specific Integrated Circuit), я увидел небольшую интегральную схему с маркировкой «PUYA». Не буду винить читателей, если это название не вызвало у вас того же восторга, что и у меня — большинство людей никогда его не слышало. Эта компания больше всего знаменита своими флэш-чипами, но впервые я узнал о них из поста Джея Карлсона о самом дешёвом флэш-микроконтроллере. Это довольно мощные крошечные микроконтроллеры ARM Cortex-M0+.

За последний год у меня скопилось довольно много таких одноразок с PY32; это были разные модели вейпов одного производителя. Я не буду бесплатно рекламировать табачный бренд, но выражу благодарность проектировщику за маркировку на отладочных контактах!

История о том, как мы собрали HA-кластер для Hyper-V на почти бесплатных компонентах: ноунейм-СХД, ESOS и пыльных FC-адаптеров. Разобрали все грабли: от падающих LUN'ов до сломанных XFS-разделов. В статье — готовые скрипты и проверенная конфигурация, которые сэкономят вам недели экспериментов.

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам.  Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.

Про IPSec много написано, поэтому здесь только настройки.

В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам).

Первый компьютер с именем StorageServer и ip адресом 17.17.17.200, данный компьютер находится в домене st.local, на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности.

Второй компьютер с именем adminivan и ip адресом 17.17.17.17, данный компьютер находится в домене st.local, c которого администратор подключается с учётной записью storageadmin.

Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory.  Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA.  

 Запускаем на StorageServer  wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

Два месяца назад мы анонсировали запуск своего игрового сервера в Minecraft. В комментариях, ожидаемо, нас попросили поделиться техническими подробностями и сложностями запуска. Но на старте проекта камней преткновения не так много, ведь задача по развертыванию кубического сервера сводится к тому, что нужно разложить файлы, написать юниты и просто ждать игроков. 

Самая непредсказуемая переменная — действия игроков. За два месяца к нам пришло более 500 «Стивов», чтобы поиграть, покритиковать и попытаться сломать сервер. Именно действия пользователей стали самой сложной и интересной задачей.

Дело в том, что в какой-то момент, выбирая между Викторией и Прометеусом, я прочитал несколько статей на Хабре. В них речь шла о плюсах Виктории — о том, что она лучше сжимает и хранит данные. Тогда я поверил, однако во время эксплуатации у меня возник ряд вопросов, и я решил провести собственное исследование.

В одной из прошлых статей 10 гигабит в каждый дом я уже рассказал о своей сети на 10 гигабит и о том, как её построить максимально бюджетно. Но далеко не каждый захочет прокладывать новую проводку и ставить дорогостоящие сетевые карты ради прироста, который ещё и не так просто испытать на домашнем железе. И не нужно, ведь на рынке уже давно есть компромисс в виде 2,5 Gigabit Ethernet!

С его появления прошло достаточно времени, чтобы свичи и сетевые карты подешевели, а производители начали ставить поддерживаемые сетевые контроллеры в достаточно бюджетные материнские платы.

Почти тридцать лет назад, когда Google только выходил на свою победную тропу, у её основателей почти не было железа.

Компания, сначала известная как Backrub и работающая на кампусе Стэнфорда, держала свой первый экспериментальный сервер в коробе из кубиков Duplo. Сервер вмещал 40 гигабайт данных. Позже удалось перейти на скромную серверную стойку. А в 2025 году весь поиск Google уже невозможно уместить даже в одном дата‑центре — и так давно.

И всё же, если включить смекалку и вложить немало труда, можно собрать нечто почти сравнимое с современным Google — на машине, по размеру близкой к тому самому первому серверу. И даже разместить её… в собственной прачечной.

Этот небольшой этюд служит как бы продолжением статьи "Проценты использования процессора — это ложная метрика". Мы попытаемся копнуть чуть поглубже и более детально разобраться как работает гиперпоточность (или гипертрединг, как его иногда называют).

В современных дата-центрах и серверных помещениях нередко возникают ситуации, когда доступ к интерфейсу управления HPE iLO утерян. Это может произойти, если заводской пароль утерян или неизвестен, а физический доступ к серверу имеется. В этой статье мы рассмотрим эффективный метод восстановления доступа к iLO без перезагрузки сервера и использования специализированного оборудования.

По работе я постоянно имею дело с серверами; при этом их владельцы всегда хотят знать, когда серверы используют свои ресурсы максимально. Вроде бы, это простая задача? Достаточно настроить top или другой инструмент мониторинга системы, посмотреть на процент использования сети, памяти и CPU, и наибольшее значение покажет, насколько близко сервер находится к пределу своих возможностей.

Например, эта машина потребляет 50% ресурсов CPU, поэтому, вероятно, способна выполнять вдвое больше своих задач.

Однако когда владельцы пытаются реально проецировать эти значения, то оказывается, что процент использования CPU на самом деле растёт не совсем линейно. Но насколько непрямой может быть зависимость?

Чтобы ответить на этот вопрос, я выполнил кучу стресс-тестов, мониторя при этом объём выполняемых ими работы и отображаемый системой уровень использования CPU, а затем по результатам построил графики.

Когда фильтра по ключу секционирования нет, локальные индексы превращаются в марафон по секциям. Новый gbtree держит единый каталог ключей и прыгает к строке по PK; покажем алгоритм, реальные цифры и ограничения (PK обязателен, ON CONFLICT не работает) — и где это решает боль в CRM/биллинге.

В предпраздничный сокращённый день с коллегами решили, а чего бы нам немного не погонять в Quake III Arena. Игруха кроссплатформенная, легко устанавливается и можно прекрасно помеситься.

После такого замеса нам захотелось по вечерам дома, дабы после работы не задерживаться. Поэтому было принято соломоново решение сделать свой сервант для игр и сваять инструкцию для установки Quake III на все используемые домашние системы. Таким образом, и родилась эта статья.

Для профессиональной работы с ИИ нужны специализированные решения. Например, для глубокого обучения современных моделей требуется конфигурация с 8 GPU и суммарной видеопамятью более 500 ГБ. В этой статье расскажем, какими характеристиками должен обладать AI-сервер, и покажем конкретные решения от Dell и российского бренда Yadro.

Сервер с LLM-интерфейсом — это не просто сервер, а полноценная платформа для запуска интеллектуальных агентов. Среди прочего, они отлично справляются с задачами мониторинга, которые мы традиционно решали с помощью скриптов, демонов и специализированных программ.

Например, на VPS можно запустить агента с круглосуточным мониторингом цен на маркетплейсах: на Хабре недавно была статья об этом. Понятно, что он запускается на любом компьютере, но конкретно для целей мониторинга сайтов в интернете требуется онлайн 24/7.