Системное администрирование *

«Безлимитная пропускная способность включена!»

Четыре слова, которые красуются практически на каждом сайте хостинг‑провайдера. Четыре слова, продавшие миллионы хостинг‑планов. Четыре слова, которые большинство хостинг‑компаний не могут выполнить.

И всё же они там, красуются на главных страницах как почётный знак. Безлимитная пропускная способность. Безлимитная передача данных. Безлимит во всём. Хостинговый эквивалент абонемента в спортзал «безлимитные занятия», где вас не пускают, если вы приходите слишком часто.

А что происходит на самом деле, когда вы пытаетесь использовать эту «безлимитную» пропускную способность у большинства провайдеров? Ваш аккаунт блокируется за «нарушение» или «превышение лимитов». Хостинг‑компания тыкает пальцем в зарытый глубоко в пользовательском соглашение пункт, который определяет «безлимит» как «всё, что мы сочтём разумным». Ваш сайт ложится, бизнес страдает, а вы понимаете, что их безлимит на самом деле означает «лимитировано тем, что мы решим в любой момент».

Это история самого живучего обмана хостинг‑индустрии. Лжи настолько распространённой, что даже клиенты, уже обжёгшиеся на ней, продолжают искать «безлимитный» хостинг. Лжи, которая генерирует миллиарды доходов, не давая ничего кроме разочарований и произвольных блокировок аккаунтов.

Но вот поворот: безлимитная пропускная способность (передача данных) на самом деле не невозможна. Некоторые провайдеры действительно предоставляют именно то, что обещают. Проблема не в физике, а в нечестности.

Добро пожаловать в скам с безлимитной пропускной способностью, где настоящие лимиты не технические, а зарыты в мелком шрифте.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

Веб-приложения и API — это полноценные точки входа в бизнес. Через них проходят транзакции, данные, сценарии пользователей и интеграции с партнерами. Чем больше сервисов, тем шире поверхность атаки. И тем выше шанс, что в потоках легитимного трафика окажется что-то лишнее.

В первой половине 2025 года российские компании зафиксировали более 63 000 атак. Это на 27 % больше, чем в прошлом году!

Массовые автоматические штурмы уходят в прошлое, и чаще атака маскируется под легитимный запрос, но с параметрами, подобранными под уязвимость конкретного сервиса или бизнес-логики. Такие сценарии дольше остаются незамеченными и обходятся дороже, потому что бьют не по инфраструктуре в целом, а по конкретным процессам.

На внешнем рубеже работает WAF. Он фильтрует веб-трафик и отсекает известные угрозы. Но, у него есть слепая зона — внутренняя механика API, где решается, что именно сервису можно, а что нельзя. Здесь нужен API Firewall, который проверяет структуру запросов, ограничивает частоту обращений и анализирует поведение клиента. Вместе они формируют защиту, способную закрыть и технические, и логические векторы атак.

Как раз об этом всем и пойдет речь в этой статье. Она для тех, кто хочет понять, зачем нужны WAF и API Firewall вместе.

Всю свою карьеру инженеры строят системы, которые бережно хранят данные и защищают их от искажений. А что если мы скажем, что иногда правильнее всё делать наоборот: намеренно портить данные, генерировать их из воздуха и создавать неотличимые от настоящих подделки? Системный аналитик Postgres Professional Максим Грамин расскажет, почему создание фейковых данных — это критически важный навык для тестирования, безопасности и разработки, и как научиться делать это правильно, не превращая базу в свалку из «Иванов Ивановых».

Удалённый доступ на уровне BIOS, восстановление при падении ОС и «оут-оф-бэнд» без танцев с RDP — для этого и нужен KVM over IP. В статье — практичная DIY-сборка PiKVM v2 на Raspberry Pi 4: выбор совместимых компонентов (в т.ч. USB-HDMI капчур на MS2109), самодельный Y-кабель USB-C для HID-эмуляции, продуманный корпус с активным охлаждением, прошивка PiKVM OS и настройка доступа по LAN и через Tailscale.

Разбираем ключевые нюансы подключения, безопасность и обновления, монтирование ISO из веб-интерфейса и ограничения по видео-задержке, чтобы получить рабочий plug-and-play IP-KVM для домашнего стенда или мини-серверной, независимый от ОС целевой машины.

В этой статье мы разберём, как написать свой многопоточный TCP-порт-сканер на Python. Несмотря на то, что существуют готовые инструменты вроде nmap или masscan, иногда требуется минималистичное решение: встроить проверку в CI/CD, автоматизировать аудит небольшой сети или использовать сканер как обучающий пример. Мы рассмотрим два подхода — на ThreadPoolExecutor и на asyncio, добавим баннер-граббинг, HTTP-проверку и TLS-детекцию. В результате получится компактный инструмент с поддержкой JSON/CSV-вывода, возможностью тонко настраивать параллелизм и таймауты, а также учитывать нагрузку на сеть. Такой сканер удобен для внутренних задач админа и для изучения сетевого программирования.

Привет, Хабр! Меня зовут Максим, я главный системный администратор. Сегодня мы поговорим о боли, знакомой каждому, кто работает с мониторингом: об усталости от алертов. О том самом звонке в 3 часа ночи из‑за службы, которая упала и сама же поднялась. О сотне писем «Host down» после падения одного магистрального коммутатора. Это не просто раздражает — это прямой путь к выгоранию команды и пропущенным реальным инцидентам.

«Шумные» алерты — это не особенность Zabbix, а симптом его неправильного использования. По умолчанию Zabbix, как и любой мощный инструмент, требует тонкой настройки. Без нее он превращается в генератор информационного мусора, который обесценивает саму идею мониторинга. Проблема в том, что постоянный поток нерелевантных уведомлений притупляет бдительность. Инженеры начинают игнорировать оповещения, что катастрофически увеличивает время реакции на настоящие сбои (MTTA/MTTR) и, как следствие, время восстановления сервиса (RTO). Это уже не операционная проблема, а прямой бизнес‑риск.

В этой статье мы построим многоуровневую систему защиты от «шума» в Zabbix. Мы пройдем путь от базовых, но критически важных техник, до продвинутых сценариев автоматизации. Мы научим Zabbix отличать кратковременный всплеск от реальной проблемы, понимать топологию вашей сети, коррелировать несвязанные на первый взгляд события и даже предсказывать проблемы до их возникновения. Финалом будет настройка надежного канала оповещений в Telegram и пример автоматического «самолечения» системы. Никакой теории — только практика, конфиги и команды, готовые к внедрению в прод.

Привет, Хабр! В арсенале системного администратора и разработчика есть множество инструментов для переноса данных. Мы копируем файлы десятки раз в день: cp для локальных копий, scp для удалённых серверов. Но что если задача сложнее? Нужно не просто скопировать, а синхронизировать два дерева файлов, дёргая по сети лишь изменившиеся данные? Или поддерживать в актуальном состоянии зеркало веб‑контента?

О чём эта статья?
— Фундамент: как правильно путями в rsync и почему слеш в конце решает всё;
— Два основных режима работы: локально, с сервером;
— Разбор флага -a: что скрывается под капотом; — Главные опции: как сделать вывод подробным, а работу — безопасной; — Синхронизация поверх SSH: работа с нестандартными портами; — Самые опасные «грабли» и как их избежать.

Современный даже celeron N это не только ценный мех — поддержка AES инструкций (для вездесущего HTTPS) и аппаратного декодирования видео, что «в то время» появлялось только в i5! Прошлый опыт о low‑end — в топку, он необъективен. А в последнее время в low‑end произошла вообще революция, которую нельзя не замечать!

Всем привет! Меня зовут Артем, я платформенный инженер и в работе часто приходится сталкиваться с Observability‑инструментами. Одним из таких инструментов, о котором я хотел бы рассказать является OpenTelemetry Collector. Это мощный инструмент, который позволяет работать с различной телеметрией и строить гибкие пайплайны для метрик, логов и трейсов.

Но иногда возможностей стандартного набора компонентов не хватает, чтобы справиться с поставленными задачами без использования костылей и изоленты. Тогда на сцену выходят кастомные компоненты для Otel-Collector.

В этой статье я расскажу про свой опыт написания кастомного процессора для otel-collector. Он обогащает спаны данными из CSV‑файла: находит совпадение по атрибуту и добавляет дополнительные поля прямо внутрь трейсов. Мы разберём архитектуру процессора, посмотрим код и конфигурацию, а в конце покажу, как собрать и запустить Collector с этим расширением.

Docker и контейнеризация давно стали стандартом. Мы подписываем образы, сканируем их на уязвимости, используем приватные реестры. Кажется, что цепочка поставки надёжно защищена.

Но исследователи показали атаку gh0stEdit (arxiv.org, 2025), которая ломает привычные представления. Суть: можно внедрить вредоносный код в Docker-образ так, что это не видно в истории, подписях и стандартных сканерах.

Подробный обзор Dell PowerEdge R7725: 2U сервер на AMD EPYC 9005 с поддержкой 40 NVMe E3.S дисков. Тесты производительности в ИИ, HPC и хранилищных задачах. Узнайте, почему это "швейцарский нож" для современных ЦОД и как он сравнивается с конкурентами.

История о том, как мы собрали HA-кластер для Hyper-V на почти бесплатных компонентах: ноунейм-СХД, ESOS и пыльных FC-адаптеров. Разобрали все грабли: от падающих LUN'ов до сломанных XFS-разделов. В статье — готовые скрипты и проверенная конфигурация, которые сэкономят вам недели экспериментов.

Я всегда был активным сторонником самохостинга, но ни разу не пробовал ничего, связанного с VoIP. Недавно я приобрёл несколько IP-телефонов и создал личную домашнюю телефонную сеть на основе Asterisk. Это руководство поможет вам настроить собственную телефонную систему при помощи опенсорсных инструментов.

Руководство написано для людей, имеющих опыт самохостинга, но совершенно незнакомых с VoIP, поэтому я ради краткости опущу некоторые неинтересные технические подробности.

Всем привет! В статье расскажу про относительно новую возможность написания собственных CPU планировщиков для Linux с помощью BPF. Разберёмся, для чего это нужно, как работает, а также посмотрим на примеры уже написанных планировщиков.

Речь идёт только про Windows. И клиент и сервер VNC на Windows. На других системах они работают иначе.

Надоело каждый раз подставлять TOTP на сайтах и у вас есть yubikey? Тогда добро пожаловать под кат. Поделюсь самописным расширением, которое позволяет автоматизировать эту рутину.

Привет, Хабр! Меня зовут Алексей Едакин, я автор статей и лонгридов в МТС Линк. Люблю изучать историю технологий, а потом делиться своими находками. Мое знакомство с пневмопочтой как идеей началось с «Футурамы», в которой, если помните, лучший способ добраться из одного конца города в другой — залезть в пневматическую трубу.

Пусть мультсериал и фантастический, но с такой же целью использовали пневмопочту и в реальной истории: быстро доставить письмо, документ или небольшую посылку коллеге на другой этаж, в соседний офис или вообще на другой конец города.

Как это было придумано, как взаимодействовало и вообще функционировало — собрал, проанализировал и оформил в этом материале. Если есть что добавить — велком в комментарии, будет полезно обсудить с вами. Поехали!

Привет Хабр! Я Дима, DevOps-инженер в IT-компании.

Эпик-фейлы бывают разные. Можно забыть закоммитить config.json. А можно так упаковать новый эндпоинт, что всё апи ляжет костьми в час-пик и будет тихо плакать под лавиной реквестов. Ручные нагрузочные тесты — это как проверять тормоза на уже летящем с горы автомобиле. Сегодня говорим о том, как автоматизировать эту магию — вшивать проверку производительности прямо в CI/CD, чтобы не краснеть перед продом и спокойно спать по ночам.

Запускайте свои пайплайны, щупальцы в руки — погнали!

Devhands.io провели очередное нагрузочное тестирование балансировщиков, и надеюсь, сделали в этот раз всё правильно: не просто взяли готовый докер, но сравнили и поставили одинаковыми все наиболее критичные конфигурационные параметры. После проведения тестов мы сделали стрим, в котором поделились результатами.  Видео этой часовой встречи можно посмотреть на Youtube, а ниже публикуем расшифровку со слайдами и всеми исходниками.