Системное администрирование *

В современной экосистеме электронной почты безопасность доставки сообщений является критически важной. Протокол SMTP, будучи фундаментальным, изначально не был защищен. Для его защиты был разработан механизм SMTP TLS, который обеспечивает шифрование соединения между почтовыми серверами. Однако он уязвим к атакам "человек посередине" (MitM), если злоумышленник может подделать сертификат.

Технология DANE (DNS-based Authentication of Named Entities) решает эту проблему, используя DNSSEC в качестве корня доверия. TLSA-запись в DNS связывает доменное имя сервера с его сертификатом или открытым ключом. Получатель почты может проверить, что сертификат отправителя соответствует записи в DNS, защищенной DNSSEC, что делает подделку практически невозможной.

Для работы DANE необходимо, чтобы TLSA-записи всегда соответствовали действительным сертификатам на сервере. Этот процесс идеально подходит для автоматизации.

На помощь можно использовать: Python-скрипт для автоматического обновления TLSA-записей

Представленный Python-скрипт решает задачу автоматического обновления TLSA-записей на авторитативном DNS-сервере PowerDNS при обновлении сертификатов. Это ключевой компонент для поддержания актуальности DANE в инфраструктуре.

Привет! Меня зовут Андрей Колесников, я тимлид одной из DevOps-команд Авито. Уже 10 лет я работаю с высоконагруженными и бизнес-критичными системами. В этой статье рассказываю, как мы управляем нашей инфраструктурой с помощью Puppet, и объясняю, почему мы продолжаем его использовать.

Вам когда-нибудь хотелось создать собственный системный вызов? Может быть, вы получали такое домашнее задание, пытались сделать это из интереса или просто для того, чтобы узнать что-то новое о ядре. В любом случае, системные вызовы – крутая штука, чтобы подробнее разобраться в Linux.

25 августа отмечается международный день Линукс, именно в этот день 33 года назад Линус Торвальдс завершил работу над первой версией ядра. В этом материале мы поговорили с коллегами, для которых Linux это не только рабочая, но и домашняя реальность, и попытались выяснить, что же это за великий и ужасный Linux. 

34 года назад Linux был скромным хобби-проектом, а что же сегодня? Сегодня операционные системы на базе Linux действительно завоевали весь цифровой мир! Вот лишь несколько цифр, которые показывают, как далеко шагнула система:

Привет, %username%! Уважаю твое личное время, поэтому без лишних слов - сразу к делу. В этой статье я кратко опишу, как настроить доступ к удаленному серверу по SSH с использованием Keycloak. Разберем, в чем преимущества этого решения, и что именно происходит в процессе такой авторизации.

В этой статье показано, как создать электронные часы и описано, как создавать виджеты для Zabbix младших версий, ниже версии 7.0, где этого функционала не предусмотрено инструкцией Zabbix. Данная статья актуальна, так как до сих пор на большинстве проектов используется Zabbix младших версий. Особенно часто используется Zabbix младших версий из репозитория Astra Linux для проектов на этой системе. В репозитории для Astra Linux ниже 1.8, а также в других репозиториях Linux часто используется Zabbix версии ниже 7.0. В результате чего, на объектах, от системных инженеров поступают замечания на стандартные аналоговые часы Zabbix, которые совершенно не информативны. Эта статья решает проблему отсутствия электронных часов в Zabbix путём изменения стандартного виджета Zabbix clock, добавляя ему возможность выбора типа часов, сохраняя остальные настройки. Результат работы кода показан на рисунке 1 и 4.

Сегодня я расскажу, как установить простой сервер для видеоконференций. Его можно использовать, чтобы звонить родственникам или знакомым в эти непростые времена, или же просто иметь в виду как запасной вариант на случай перебоев с другими более известными сервисами.

Сервер называется Galene, github. Он был разработан во время пандемии в Парижском университете как инструмент для проведения удалённых занятий. Со временем его возможности расширились, и теперь по функционалу он ближе к Jitsi Meet.

Приветствую! В любой сети устройства должны получать IP-адреса, шлюзы и DNS-серверы, чтобы корректно обмениваться данными и иметь доступ в Интернет. Конечно, можно настраивать всё вручную, но в реальной жизни это неудобно и часто приводит к ошибкам. На помощь приходит протокол DHCP (Dynamic Host Configuration Protocol). Его задача проста - автоматически раздавать клиентам все необходимые сетевые параметры, включая IP, маску подсети, шлюз и DNS.

В этой работе мы подробно разберём, как работает DHCP, от процесса обмена сообщениями DORA (Discover, Offer, Request, Acknowledge), через анализ сетевого трафика в Wireshark, до настройки DHCP-сервера на MikroTik и Ubuntu-Server. Мы также рассмотрим дополнительные возможности протокола, такие как DHCP Relay, который позволяет обслуживать клиентов в других подсетях.

Думаете, виноват провайдер? Мало что способно вывести из себя так сильно, как капризный Wi-Fi. Вроде бы пару минут назад интернет «летал», а теперь всё внезапно зависло — видео не грузится, Zoom/Google Meet прерывается так, что не слышно коллег, а лампочки умного дома работают через раз. 

Тысячи раз слышим совет «перезагрузите роутер», но редко кто задумывается, что стоит за лагами — перегруженные частоты и ограниченные ресурсы невидимого соседства. Детали внутри.

Аутентификация с использование паролей «заслуженно» можно назвать устаревшей. Да, десятилетиями мы использовали логин и пароль для входа в различные приложения. Но сегодня этот способ аутентификации сложно назвать действительно безопасным. Злоумышленники могут подселить на машину вредонос‑кейлоггер, который будет сохранять все нажатые клавиши и позволит атакующим узнать наши учетные данные. Также, при определенных условиях хакеры могут перехватить наши учетки при передаче по сети. Конечно, повсеместное использование TLS существенно снижает риски перехвата, но все же не предотвращает их полностью.

Ну конечно новомодный фишинг — отдельная головная боль безопасников. Несмотря на все предупреждения определенная часть пользователей продолжает вестись на мошеннические письма, переходить по подозрительным ссылкам и вводить свои учетные данные.

Любая сеть растёт быстрее, чем ты успеваешь её документировать. Сначала у тебя десяток серверов и пара коммутаторов, можно вести учёт адресов в табличке. Но как только устройств становится сотни, а IP‑адресов тысячи, Excel превращается в минное поле.

Проблемы начинаются банально:

Один инженер раздал IP вручную, второй занял тот же диапазон под тест, подсеть легла. Забыли зафиксировать, кому выдан адрес, и теперь никто не понимает, что за «сервер Х» висит в мониторинге. Конфликт VLAN и вся смена сидит без CRM.

Классика. Если нет централизованного учёта, сеть рано или поздно начнёт «жечь костры».

Именно для этого придумали IPAM (IP Address Management) — системы, которые берут на себя:

В этой статье мы подробно рассмотрим все ключевые параметры OpenSearch, включая дашборды, документы, индексы, узлы, кластеры, шардирование, инвертированные индексы и сам процесс индексации. Понимание этих аспектов позволит максимально эффективно использовать OpenSearch для решения задач поиска и анализа данных в любых проектах.

Привет, Хабр! Меня зовут Евгений Ляшенко, я старший разработчик IBS. В эпоху, когда объемы данных растут с каждым днем, эффективный поиск информации становится критически важным для бизнеса и разработчиков. OpenSearch как мощный инструмент для полнотекстового поиска и аналитики предлагает гибкие решения для работы с большими массивами данных. Чтобы наглядно продемонстрировать его работу, я создал pet-проект с поиском по библиотеке книг и фильмов. Но сначала немного теории.

Что сложного в том, чтобы выбрать себе VDS? Смотришь на тарифы, характеристики, SLA и… попадаешь на ненадежного провайдера, у которого сервер падает без предупреждения, поддержка сводит всё к перезагрузке, а счета растут сами по себе. Чтобы не оказаться в такой ситуации, важно выбирать хостера не только по витрине на сайте. Собрал для вас топ-лист из тревожных звоночков. Приглашаю под кат. 

Когда я писал статью про HAProxy, у меня возникла идея сравнить его с другим популярным proxy-сервером, например с Envoy. Но тогда мне показалось, что простое сравнение в виде таблицы или пары абзацев будет неинформативным — и я решил сделать полноценный разбор в отдельной статье. Если вам интересно — добро пожаловать! Здесь рассмотрены не все возможности каждого решения, но ключевые — те, которые действительно важны на практике.

Сегодня я разберу три популярных прокси, сравню их и расскажу: что, где и когда лучше применять. Под «популярными» я имею в виду те, с которыми работал сам и изучил их устройство «под капотом». Прокси существует гораздо больше, но о других говорить не буду — либо не копал глубоко, либо знаю слишком мало, чтобы включать их в разбор. Отдельно отмечу важность документации: если она запутана или неполна, приходится гадать, что и где настраивать, а это быстро отбивает желание работать с инструментом.

HAProxy 3.3, NGINX 1.29 и Envoy 1.35 — три open source-прокси с разной архитектурой и моделью управления. Enterprise-версии рассматривать не буду — капитализм делает свое дело: серьёзных отличий почти нет, а вот в OSS-вариантах есть что сравнить — в ряде моментов конкуренция пошла на пользу.

Привет, Хабр! Почему некоторые компании возвращаются к локальной инфраструктуре, оставляя публичное облако в прошлом? Казалось бы, облачные технологии — это будущее, но растущая тенденция обратной миграции доказывает обратное.

В этой статье мы расскажем вам, что движет этим процессом и какие выгоды он может принести бизнесу.

В 2019 году аналитики Gartner посчитали, что случаи выхода из публичного облака были скорее исключением, чем массовой практикой. А вот в июле 2024 года AWS решили, что этот тренд усиливается, особенно среди компаний, которые хотят усилить контроль над данными, снизить расходы и повысить кибербезопасность. Решение о миграции часто зависит от характера рабочих нагрузок и индивидуальных потребностей бизнеса.

Давайте разберём самые распространённые причины отказа от публичных облаков.

Привет, Хабр! В этой статье расскажем, как справляться с ростом объема персональных данных, и поделимся опытом создания собственной облачной платформы, соответствующей требованиям ФЗ-152.

Поделимся опытом перехода от VMware к OpenStack, перестройки сетевой изоляции и другими неожиданными сложностями. Статья будет полезна инженерам, архитекторам и всем, кто работает над безопасностью в облаке.

Многие инженеры теряются в нюансах настройки allowPrivilegeEscalation в Kubernetes. Автор статьи простым языком объясняет, зачем нужен этот флаг, как он работает и почему его наличие или отсутствие не критично для большинства сценариев. Если хотите понять, как устроена безопасность контейнеров, — эта статья для вас.

Привет, Хабр! Какое‑то время назад, в процессе изучения bash‑скриптов, старался углубляться в тему и искал себе больше практики посредством решения любых, даже мельчайших задач. Одной из таких был скрипт, удаляющий временные файлы, старые дампы, папки node_modules от давно забытых проектов. Нашёл его на днях совершенно случайно. Протестил его на виртуалке, скрипт рабочий, но ужасно костыльный и неприятный визуально.

Какая у меня появилась идея? Проверить, сможет ли ChatGPT сделать то же (и насколько качественно), что и я, но грамотнее и «элегантнее». Результат получился весьма поучительным: ИИ отлично справился с архитектурой, но очень пытался угробить систему парой строчек. Далее расскажу, как это было.

В свете сами знаете чего, свой приватный мессенджер и возможность звонков на XMPP стали как никогда актуальны.

Есть быстрый и простой способ: за несколько минут вы поднимаете собственный Jabber-сервер. Дальше — дело техники: рассылаете приглашения маме, бабушке, теще, жене и соседке Даше. После этого можно спокойно звонить и переписываться в защищённом мессенджере, который полностью под вашим контролем.

Звонки идут в зашифрованном режиме, работают p2p. А если у собеседника хитрый NAT, то на помощь автоматически приходит встроенный STUN-сервер.

Клиенты есть под все платформы: Android, iOS, Windows, macOS и Linux.

Привет, Хабр! Меня зовут Валентин Вертелецкий, я DevOps в СберТехе, занимаюсь развитием Platform V Kintsugi — это графическая консоль для сопровождения Postgres-like СУБД. Наш продукт построен на микросервисной архитектуре и сначала разрабатывался с использованием базовой функциональности Kubernetes — там нет встроенных механизмов аутентификации, авторизации, управления доступом и шифрования трафика. Когда же у нас стало больше сервисов, нам понадобилось повысить защиту и отказоустойчивость, добавить возможности управления доступом.

Мы опираемся на подход Zero Trust: ни одному элементу системы не доверяем по умолчанию. Каждый запрос проверяется, привилегии для администраторов минимальны, трафик валидируется и шифруется. Нам предстояло обеспечить надёжную аутентификацию и авторизацию, а также централизованный контроль и мониторинг запросов. В этом нам помогла технология Service Mesh. 

Для управления микросервисами в Kubernetes мы используем Platform V Synapse Service Mesh от СберТеха — это решение на основе платформы Istio. Покажу, как всё работает у нас. Плюс, я подготовил демо-проект для тестирования кейсов (ссылка в конце статьи). Надеюсь, он будет полезен командам, работающим с микросервисами.