Как стать автором
Поиск
Написать публикацию
Обновить
451.65

Системное администрирование *

Лишь бы юзер был доволен

Сначала показывать
Порог рейтинга
Уровень сложности

Как подружить Bitwarden CLI с пайплайном деплоя

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров1.4K

Недавно впервые занялся деплоем своих проектов и столкнулся с привычной для новичка проблемой: как аккуратно подгружать секреты для бэкенда и фронтенда. На словах всё просто: подключи .env. На деле — копипаст, дублирование, отсутствие истории и точного контроля доступа.

Решение — Bitwarden Secrets Manager + CLI. Централизованно храним ключи, раздаём доступ выборочно и автоматически подтягиваем их при деплое. В статье покажу, как настроить всё с Docker, NestJS, Vite и Coolify, чтобы деплой стал безопасным и удобным.

Читать далее

Тихий герой воскресного утра: как bash-скрипт спас нас от OOM Killer

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров11K

Привет, Хабр! Статья не входила в планы, пишу с чувством лёгкой сюрреалистичности. В воскресенье утром наш основной API-гейтвей пережил маленькую апокалиптическую битву с памятью и выиграл без моего участия. Делюсь с Вами, как небольшой скрипт, на который я не полагал абсолютно никаких надежд, отработал аварию.

Читать далее

Защищенный DECT-телефон Gigaset R700H PRO: безупречная работа в агрессивных средах

Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров810

Влагозащищенный и пыленепроницаемый DECT-телефон Gigaset R700H PRO со степенью защиты IP65 — это надежное и многофункциональное устройство, которое стабильно работает под прямым потоком воды (под дождем), в условиях повышенной влажности или в пыльных производственных помещениях.

Читать далее

Как выбрать VDS под задачи: 10 реальных сценариев и советы

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров4.3K

VDS/VPS берут в том случае, когда нужен контроль над сервером и гарантированные ресурсы. Но сценарии использования всегда различаются — кому-то нужен интернет-магазин, кому-то почтовый или игровой сервер, а кто-то вовсе хранит там архив с фото своего кота. Под катом я собрал типичные кейсы и советы о том, на что смотреть при выборе VDS под конкретные задачи. Приглашаю. 

Читать

Протокол SNMP, что нужно знать для начала

Время на прочтение4 мин
Количество просмотров238

Протокол SNMP, что нужно знать для начала.

Как системные администраторы узнают, что какой-то сервер не отвечает? или на нем зависла отдельная служба? греется процессор от неисправной системы отвода тепла? либо он уже второй день обрабатывает запросы от жителей целых ЖК, будучи доступным только по одному провайдеру сети интернет, так как на резервном перегорел SFP трансивер. Они не обновляют страницы состояния инфраструктуры, не читают каждые 10 минут логи и не сидят круглосуточно перед десятками консолей. За них это делает верный и чуткий помощник, мимо которого не проскочит не замеченной ни одна проблема в инфраструктуре. Вашему вниманию протокол SNMP (Simple Network Management Protocol) разработанный еще в 1988 году этот парень остается крутым в своем деле. Если вы только начинаете с ним знакомиться, то в этой статье я постараюсь расписать все, что о нем знаю (в рамках объяснения) сделаем пару практических примеров и составим хороший фундамент, для дальнейшего продвижения в этой большой сфере Мониторинга, обнаружения ошибок в инфраструктуре.

Первое, с чего хочется начать, это структура протокола, он состоит из двух частей:

Менеджер - это система запроса, обработки, хранения и отображения информации, полученной от проверяемых хостов, что и как спрашивать он узнает из специально подготовленной и бесплатно нам предоставленной базы MIB (Management Information Base) мы не будем его открывать и читать, потому что во первых испугаемся, во вторых нам это не нужно, оно само работает без нашего участия;

Агент: - знает все, о хосте и готов ответить на любые "вопросы" заданные менеджером (как в реальной жизни да? отправил агента - получаешь информацию по запросу) вопросы, он получает на особом "языке" OID (Object Identifier) читать их тоже не надо, за нас это сделает агент, они уже готовые и заранее записанные в MIB.

Наверно, вы сейчас подумаете "ну ничего себе симпл, что ты еще там предложишь? объекты да интерфейсы писать и соединять их в систему мониторинга?" нет, со сложностями мы закончили, дальше будем все вышеописанное, обсуждать на понятном языке. Менеджер, уже рассмотренный нами, работает в составе решений мониторинга, самые известные из них: Zabbix, Nagios и даже новомодный Prometheus через свой прокси, но чтобы не нагружать вас сразу всеми существующими технологиями, обойдемся обычными запросами с самого сервера, где и будем смотреть полученную информацию, то есть да, будем отправлять запросы из менеджера вручную, чтобы было понимание как оно работает "под капотом".

Но, как бы хорошо мы не знали ту или иную технологию, нам не удастся объяснить ее на пальцах и наш случай не исключение, поэтому нам понадобится полигон для наших тестов, им будет машина с установленным самым обычным Linux Debian. Давайте установим саму систему мониторинга, а также саму базу MIB, обновим список доступных для установки пакетов: apt update и выполним саму установку apt install snmp snmp-mibs-downloader

Читать далее

Как я перестал гнаться за 100% аптаймом

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров4.2K

Когда я только начинал работать, 100% аптайма казались мне священным граалем. Казалось: если сервис никогда не падает — пользователи счастливы, бизнес доволен, инженеры спят спокойно. Но реальность быстро показала: каждая дополнительная «девятка» стоит всё дороже, а выгоды становятся всё менее заметными. В статье делюсь опытом: почему гонка за идеальной надёжностью — тупик, как помогает концепция Error Budget и почему лучше найти баланс между стабильностью и развитием.

Читать далее

Foreman в изоляции: как мы построили отказоустойчивую и безопасную систему для массового деплоя ОС

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров1.4K

Делимся опытом трансформации нашей инфраструктуры: от децентрализованных экземпляров Foreman с публичными IP до защищённой, изолированной архитектуры с централизованным управлением через GitLab, повышенной безопасностью и легкой масштабируемостью.

Читать далее

Пароли не там, где вы их оставили. Как работает DOM Clickjacking

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров898

Если честно, менеджеры паролей давно стали для меня чем‑то вроде зубной щётки. Пользуюсь каждый день, но задумываюсь о них только тогда, когда что‑то идёт не так. Обычно всё просто: клик — и нужная форма заполнена. Красота. Но именно эта красота может сыграть злую шутку. Совсем недавно я наткнулся на исследование про DOM Clickjacking, и понял, что даже привычное «автозаполнить» может подставить.

В отличие от старого доброго clickjacking с iframe, здесь никто ничего поверх не накладывает. Всё хитрее: страница сама превращается в ловушку. Менеджер паролей видит поле логина и честно вставляет туда пароль. А пользователь (ну то есть мы с вами) жмёт на кнопку и уверен, что всё нормально. На самом деле клик улетает в невидимый элемент, и данные — вместе с ним. Честно говоря, когда я это увидел на демо, стало немного не по себе.

Есть три главные причины, почему расширения ведутся на такой обман. Во‑первых, некоторые из них слишком доверчиво вставляют пароль сразу, без всякого подтверждения. Во‑вторых, они проверяют только домен верхнего уровня. А если у сайта есть хитрый поддомен — привет, уязвимость. И в‑третьих, далеко не все разработчики заморачиваются с CSP, поэтому любой внедрённый скрипт может вытворять с DOM что угодно.

Проверить страницу самому несложно. Открываете DevTools, смотрите на элементы. Если видите кучу строк с opacity:0 или position:absolute; left:-9999px — повод насторожиться. В Chrome во вкладке Layers это особенно хорошо видно. Для любителей автоматизации есть и короткий скрипт на JavaScript, который подсветит такие штуки.

Читать далее

Записки оптимизатора 1С (ч.13). Что не так в журнале регистрации 1С в формате SQLite?

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров3.1K

Хочу вернуться к старой проблеме с хранением журнала регистрации 1С в формате SQLite. История стара как мир, но мы нет-нет, а продолжаем с ней сталкиваться, поскольку очень часто большие информационные системы работают далеко не на самых свежих версиях платформы 1С, а администраторы системы не уследили за форматом хранения журнала регистрации (ЖР).

Наглядно посмотрим к чему может приводить ЖР в формате SQLite в многопользовательской нагруженной системе, а также выясним как администраторам и разработчикам понять, что проблема просадки производительности связана с чтением ЖР.

Читать далее

Как работают обновления macOS

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров2.7K

Представьте типичное утро понедельника в ИТ-отделе: вы открываете систему тикетов и видите десять одинаковых заявок: «После вчерашнего обновления macOS перестал работать [важный корпоративный софт]». 

Если это звучит знакомо, не паникуйте, вы не одиноки. Apple постоянно выпускает обновления безопасности и новые версии ОС, о чём она напоминает даже в документации: «поддержка актуального ПО – одна из самых важных задач для поддержки безопасности Mac». Однако в корпоративной среде эта же надёжность может обернуться головной болью для админа. С одной стороны, пропуск обновления может оставить дыры в безопасности; с другой – каждое обновление сопряжено с рисками несовместимости с бизнес-приложениями, скриптами и оборудованием.

И наконец привет! Меня зовут Эрик, я инженер технической поддержки в Ринго. В этом руководстве мы разберёмся со всеми основными инструментами и техниками по  управлению обновлениями macOS. Материал построен по принципу от простого к сложному: начнём с базовых компонентов системы обновлений, затем — разбор softwareupdate и defaults, рассмотрим MDM-профили, а также методы блокировки и оптимизацию доставки обновлений. 

Читать далее

Uptime Kuma 2 установка и мониторинг сервисов без VPS

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров2.8K

Даже самые надёжные и отказоустойчивые системы иногда могут преподносить неприятные сюрпризы. Что уж говорить про обычные VPS-сервера и запущенные на них проекты. Рано или поздно может случиться ситуация, когда сайт или какой-то сервис «упал». Причины бывают разные: от внешних (например, сбой у провайдера или проблемы на стороне хостинга) до внутренних — ошибка в коде, нехватка ресурсов или некорректные настройки.

К таким ситуациям важно быть готовым заранее. И лучший способ — настроить мониторинг, который будет следить за работой сервисов и вовремя оповещать вас, если что-то пошло не так.

Один из удобных инструментов для этого — Uptime Kuma. Это относительно молодой (по сравнению с «тяжеловесами» вроде Zabbix) проект, который активно развивается, прост в установке и отлично подходит для новичков.

В этой статье мы разберёмся:

Читать далее

MWS Octapi Integration Platform: объединение сложных филиальных организаций при помощи Event Mesh

Время на прочтение11 мин
Количество просмотров364

Привет, Хабр! Меня зовут Александр Бардаш. Я CTO в MWS Octapi — это интеграционная платформа МТС Web Services, которая объединяет все возможные способы взаимодействия между системами в экосистеме компании. В ней используется подход Event Mesh — технология, которая позволяет обрабатывать данные в реальном времени и обеспечивает безопасность, производительность и управляемость. Сегодня предлагаю посмотреть, как все это работает.

Этот текст — переработка моего доклада с HighLoad++. Устраивайтесь поудобнее, читайте и задавайте вопросы в комментариях, на все постараюсь ответить.

Читать далее

Автоматическая выдача сертификатов пользователям через GPO

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров3.8K

В корпоративной среде часто возникает задача раздать сертификаты ЭЦП всем сотрудникам. Стандартные методы certutil и Import-PfxCertificate не всегда работают: приложения вроде СБИС не видят такие сертификаты. В статье рассказываю, как автоматизировать распространение с помощью PowerShell и GPO — с заменой SID, импортом в реестр и копированием файлов.

Читать далее

Ближайшие события

RTX Pro 2000, 4000 SFF и 6000 Blackwell: новое поколение видеокарт NVIDIA

Время на прочтение7 мин
Количество просмотров1.9K

Видеокарты NVIDIA на архитектуре Blackwell в очередной раз трансформируют рынок GPU. Три новые модели — RTX Pro 2000 Blackwell, RTX Pro 4000 SFF Blackwell Edition и RTX Pro 6000 Blackwell — делают технологии AI и высокопроизводительных вычислений более доступными для широкого круга компаний.

В этой статье мы рассмотрим характеристики, возможности и потенциальные сценарии использования новых серверных GPU NVIDIA Blackwell начального и среднего уровня, которые выйдут на рынок до конца 2025 года.

Читать далее

Как я перестал бояться алертов и полюбил дежурства

Уровень сложностиПростой
Время на прочтение13 мин
Количество просмотров6.4K

Когда я только начинал дежурить, телефон ночью был моим главным врагом: PagerDuty вырывал из сна десятки раз, а инциденты превращались в хаос. Со временем я понял, что on-call можно превратить в предсказуемый процесс — с правильными алертами, runbook-ами и командной культурой. В этой статье расскажу, как я перестал бояться алертов и научился относиться к дежурствам спокойно. Будет личный опыт, фейлы и практические советы

Читать далее

Генерация тестовых данных на Python: руководство по библиотеке Faker

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров3.3K

Привет, Хабр! Думаю, многие сталкивались с необходимостью генерации тысячи пользователей. Вручную - не вариант, слишком долго. В данной статье разберу библиотеку Faker. Это генератор реалистичных тестовых данных, который превращает заполнение базы и создание демо-контента из рутины в дело пары строк кода. В статье продемонстрирую, как генерировать тысячи правдоподобных записей на русском, заполнять БД и создавать собственные типы данных для ваших проектов.

Читать далее

ALD Pro и Astra Configuration Manager как две палочки Твикс: обзор ACM

Время на прочтение17 мин
Количество просмотров1K

Управлять современной инфраструктурой на Astra Linux — задача не из простых. Одного домена и групповых политик недостаточно, если тебе нужно не просто завести пользователей, а держать под контролем всё: от списка «железа» для каждой машины до установленного ПО, от массового обновления ОС до переустановки софта на десятках рабочих станций без физического доступа. В реальности всё это оборачивается множеством  скриптов, таблиц в Excel и флешками, которые кто-то обязательно потеряет. Можно ли этого избежать? Кажется, что да…

Читать далее

Как я перестал тушить пожары и начал говорить с бизнесом на языке SLO

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров3.9K

Когда я только начинал работать с инфраструктурой, всё выглядело как бесконечный пожар: сотни алертов, ночные звонки, хаотичные релизы и нервы на пределе. Мы гасили инциденты вручную, но проблема возвращалась снова и снова.

Ситуация изменилась, когда я познакомился с практиками SRE: SLO, SLI и error budget. Они помогли превратить хаос в систему и объяснить бизнесу надёжность на понятном языке. Теперь вместо бессмысленного «сервис упал!» мы обсуждаем конкретные цифры: сколько бюджета ошибок потрачено и когда можно катить релиз.

В этой статье расскажу, как мы внедрили наблюдаемость на основе golden signals, научились писать постмортемы без поиска виноватых и встроили задачи по надёжности прямо в бэклог. Всё — из реальной практики инженера, который за год прошёл путь от «тушения пожаров» к спокойной работе с прогнозируемой стабильностью.

Узнать, как выйти из этого хаоса

Больше не нужен рестарт: как Kubernetes позволяет менять ресурсы контейнеров «на лету»

Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров11K

Теперь ресурсы контейнеров в Kubernetes можно менять «на лету» — без перезапуска и простоев. В статье рассказываем, как работает in-place resize, где эта функция реально спасает приложения от перегрузки и какие ограничения стоит учитывать на практике.

Читать далее

Автоматизация обновления TLSA-записей для DANE: Интеграция с PowerDNS API

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров400

В современной экосистеме электронной почты безопасность доставки сообщений является критически важной. Протокол SMTP, будучи фундаментальным, изначально не был защищен. Для его защиты был разработан механизм SMTP TLS, который обеспечивает шифрование соединения между почтовыми серверами. Однако он уязвим к атакам "человек посередине" (MitM), если злоумышленник может подделать сертификат.

Технология DANE (DNS-based Authentication of Named Entities) решает эту проблему, используя DNSSEC в качестве корня доверия. TLSA-запись в DNS связывает доменное имя сервера с его сертификатом или открытым ключом. Получатель почты может проверить, что сертификат отправителя соответствует записи в DNS, защищенной DNSSEC, что делает подделку практически невозможной.

Для работы DANE необходимо, чтобы TLSA-записи всегда соответствовали действительным сертификатам на сервере. Этот процесс идеально подходит для автоматизации.

На помощь можно использовать: Python-скрипт для автоматического обновления TLSA-записей

Представленный Python-скрипт решает задачу автоматического обновления TLSA-записей на авторитативном DNS-сервере PowerDNS при обновлении сертификатов. Это ключевой компонент для поддержания актуальности DANE в инфраструктуре.

Читать далее

Вклад авторов