Системное администрирование *

В современной корпоративной среде количество паролей и ключей стремительно увеличивается, и управление секретами становится одной из основных задач в области кибербезопасности. По своей сути, управление секретами — это набор правил и инструментов, позволяющих контролировать доступ к конфиденциальной информации. 

В более точном определении, это процесс централизованного хранения, управления и ротации конфиденциальных данных, которые приложения и сервисы используют для доступа к критически важным ресурсам. К таким секретам относятся пароли, SSH-ключи, API-ключи и ключи шифрования, токены доступа, сертификаты и любые другие параметры, обеспечивающие безопасность инфраструктуры.

По мере роста бизнеса ИТ-отделы и DevOps-команды сталкиваются с ситуацией, когда секретов становится слишком много, их сложно структурировать, контролировать и защищать. В реальных проектах секреты живут в конфиг-файлах, переменных окружения, скриптах, иногда в открытых репозиториях.

В этой статье мы расскажем, как на практике решали эти задачи с помощью Пассворка, и как теперь автоматизируем всё: от ротации до интеграции с пайплайнами.

99.9% аптайма.

Три невинные цифры, которые хостинг‑компании размещают по всем своим маркетинговым материалам как знаки отличия. Звучит впечатляюще, не так ли? Почти идеальная надежность. Ваш сайт работает стабильно 999 минут из каждой 1000.

Но вот что они вам не говорят: 99.9% аптайма означает, что ваш сайт недоступен 8 часов 46 минут каждый год.

Если хотите проверить математику, таблицы доступности конвертируют 99.9% в ~8ч 46м/год, а 99.99% в ~52.6м. В 30-дневном месяце 99.9% допускает около 43м 49с простоя, в то время как 99.99% около 4м 23с.

Это целый рабочий день. Исчез. Клиенты видят страницы ошибок, продажи испаряются, email‑сообщения возвращаются обратно. Пока вы платите премиальные цены за «корпоративную надежность».

И становится хуже. Разница в 0.1% между 99.9% и 99.8% аптайма? Она представляет удвоение времени простоя с 8.77 часов до 17.53 часов в год. Тем не менее хостинг‑компании ценят эти тарифы так, будто разница незначительна.

Автоматическая установка Ubuntu Server без PXE? Возможно! В статье о том, как можно упростить развертывание серверов с помощью самодостаточного ISO-образа с autoinstall. Такой подход убирает лишнюю инфраструктуру (DHCP, TFTP, preseed), автоматически определяет оборудование, настраивает сеть и получает конфигурацию через API. В итоге — меньше ручной работы, больше гибкости и быстрая установка серверов даже в масштабах дата-центра.

Всем привет! Меня зовут Эрик, я работаю инженером технической поддержки в компании Ринго. Это первая часть статьи о пакетах (packages, которые у нас часто так и называют “пэкиджи”) в экосистеме Apple. В этом материале мы разберём, как устанавливаются приложения в macOS, чем отличаются форматы DMG и PKG и подробно рассмотрим устройство установочных пакетов. Мы изучим их структуру, роль Gatekeeper, затронем цифровую подпись и нотаризацию, а также изучим способы инспектирования пакетов перед установкой. 

Все темы будут подкреплены примерами, чтобы материал был понятен и полезен. Если вам интересно — поехали! 🚀

Привет, коллеги! Хочу рассказать одну историю. Был у нас в стойке один сервер. Назовем его «Феникс». Работал как часы, аптайм — 986 дней. Мы им гордились, ставили в пример новичкам, мол, вот как надо настраивать железо и софт. А потом пришло время планового техобслуживания в дата-центре. Простое выключение-включение. «Феникс» больше не взлетел. RAID-контроллер решил, что с него хватит, а заодно прихватил с собой пару дисков из массива. Вот тогда я впервые по-настояшему задумался о том, что цифровой мир подчиняется тем же жестоким законам, что и физический.

В теории, код и данные — это нечто вечное. Биты не ржавеют, скрипты не изнашиваются. Но на практике любая сложная система со временем деградирует. Это не просто отказ железа ; это медленный, неумолимый «постепенный скат в беспорядок» , который затрагивает всё: софт, конфигурации, данные. Это явление, которое я для себя называю  цифровой энтропией, — наш с вами постоянный и невидимый враг. Наша работа — не просто строить системы, а вести непрерывную войну с их неизбежным распадом.  

Эта статья — путешествие по самым темным уголкам цифровой энтропии. Мы заглянем в глаза её самым жутким проявлениям, поделимся байками из серверной и вооружимся как тактическими командами для экстренных случаев, так и стратегическими концепциями, которые помогут держать хаос в узде.

Можно ли перейти с Oracle или MS SQL на СУБД из Реестра российского ПО без переписывания всей хранимой логики?
Один из возможных подходов к решению этой задачи.

Недавно мы представили MWS Container Platform — платформу для управления приложениями и инфраструктурой на базе Kubernetes. А сегодня в статье предлагаем взглянуть на гайды по теме ИБ при работе с оркестратором: базовые материалы для начинающих, референсы для опытных инженеров и разборы распространенных ошибок. В целом материалам будет полезен системным администраторам, DevOps-инженерам и тем, кто начинает работать с Kubernetes.

Привет, Хабр! В предыдущих частях руководства мы разобрали rsync вдоль и поперек - от базового синтаксиса до продвинутых "трюков" для бэкапов и деплоя. Казалось бы, вот он, идеальный инструмент на все случаи жизни. Но как часто бывает в IT, универсальных решений не существует.

В этой завершающей статье цикла мы посмотрим на rsync с "высоты птичьего полета" и разберемся, когда его стоит отложить в сторону в пользу более простых или более специализированных решений. Спойлер: идеального инструмента нет, но есть идеальный инструмент для конкретной задачи.

Статья, которой по идее вообще не суждено было появиться на свет и которая ярко иллюстрирует разницу между теорией и практикой.

Когда Google Meet внезапно начал «тормозить» в России, мы оказались перед выбором: Zoom, Яндекс Телемост, NextCloud или self-hosted решения. После тестов мы остановились на Jitsi Meet на VPS и проверили его в боевых условиях. Делимся опытом и подводными камнями.

Логирование (журналирование) — это не просто запись событий в файл, а стратегический инструмент для диагностики, мониторинга и обеспечения безопасности приложений. Небрежный подход к логированию может привести к серьёзным проблемам: от бесполезных терабайтов данных, в которых невозможно найти нужную информацию, до падения production-систем из-за перегрузки подсистемы логирования. В этой статье мы рассмотрим:

рекомендации по выбору уровня детализации (FATAL, ERROR, INFO, DEBUG, TRACE);

почему контекст в логах не менее важен, чем сами сообщения;

методики сокращения объёма логов без потери полезности;

как обеспечить производительность и отказоустойчивость приложения при формировании логов;

тестирование логов как не менее важную часть процесса по сравнению с тестированием кода.

Canonical представила бета-версию Ubuntu 25.10 под кодовым названием "Questing Quokka". Этот промежуточный выпуск, поддержка которого продлитсядевять месяцев, уже заморозил пакетную базу и перешел к финальному этапу тестирования. Полноценный релиз запланирован на 9 октября, так что ждем. Ну а бета-образы доступны для всех редакций: Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin, Ubuntu Unity, Edubuntu и Ubuntu Cinnamon. Давайте разберем, что нового в этой версии и почему она заслуживает внимания.

Еще одна поучительная история из жизни с Linux, специально чтобы вы потеряли сон и покой, узнав что такое вообще возможно.

Нужно нарастить мощность без лишнего CAPEX? Разбираем, как вторичный рынок серверов превращается из «плана Б» в стандарт: 50–80% экономии, недели вместо месяцев, совместимость с российскими ОС. Плюс: чек-лист приёмки, таблица конфигураций и как провести пилот, чтобы спорить цифрами, а не мнениями.

Представьте: каждый день ваши автотесты генерируют десятки отчетов об ошибках, QA команда тратит часы на анализ падений, а разработчики получают невразумительные описания в духе "test.feature упал на строке 410". Знакомо?

Мы решили эту проблему, интегрировав AI в процесс анализа тестов, и хотим поделиться опытом.

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Привет, Хабр! В первой части я разобрал основы rsync: синтаксис, ключевые опции и работу по SSH. Эти аспекты позволяют эффективно пользоваться утилитой на базовом уровне. В этой статье заглянем «под капот» и научимся тонко контролировать весь процесс синхронизации и диагностировать проблемы с производительностью...

Что в статье:

— Фильтрация;
— Экономичные бэкапы;
— Диагностика и решение проблем.

Autoscaler призван оптимизировать ресурсы CPU и памяти кластеров. Но что, если он сам становится источником проблем? Обычный алерт о пропавших метриках обернулся расследованием на всю ночь. Шаг за шагом команда выясняла, почему VPA начал агрессивно пересоздавать поды, пока не дошла до скрытой настройки, едва не похоронившей кластер. Подробности в статье.

«Безлимитная пропускная способность включена!»

Четыре слова, которые красуются практически на каждом сайте хостинг‑провайдера. Четыре слова, продавшие миллионы хостинг‑планов. Четыре слова, которые большинство хостинг‑компаний не могут выполнить.

И всё же они там, красуются на главных страницах как почётный знак. Безлимитная пропускная способность. Безлимитная передача данных. Безлимит во всём. Хостинговый эквивалент абонемента в спортзал «безлимитные занятия», где вас не пускают, если вы приходите слишком часто.

А что происходит на самом деле, когда вы пытаетесь использовать эту «безлимитную» пропускную способность у большинства провайдеров? Ваш аккаунт блокируется за «нарушение» или «превышение лимитов». Хостинг‑компания тыкает пальцем в зарытый глубоко в пользовательском соглашение пункт, который определяет «безлимит» как «всё, что мы сочтём разумным». Ваш сайт ложится, бизнес страдает, а вы понимаете, что их безлимит на самом деле означает «лимитировано тем, что мы решим в любой момент».

Это история самого живучего обмана хостинг‑индустрии. Лжи настолько распространённой, что даже клиенты, уже обжёгшиеся на ней, продолжают искать «безлимитный» хостинг. Лжи, которая генерирует миллиарды доходов, не давая ничего кроме разочарований и произвольных блокировок аккаунтов.

Но вот поворот: безлимитная пропускная способность (передача данных) на самом деле не невозможна. Некоторые провайдеры действительно предоставляют именно то, что обещают. Проблема не в физике, а в нечестности.

Добро пожаловать в скам с безлимитной пропускной способностью, где настоящие лимиты не технические, а зарыты в мелком шрифте.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.