Системное администрирование *

Привет, я Андрей Иванов, исполнительный директор в IT-компании и автор медиа «вАЙТИ». Мы занимаемся разработкой веб- и мобильных сервисов, автоматизацией бизнес-процессов и внедрением AI. Кроме того, помогаем стартапам в разработке MVP продуктов. В моей сфере ответственности лежит работа по управлению бюджетом компании и операционными расходами. В статье расскажу о своем опыте и видении, какие ошибки чаще всего допускают IT-директора при урезании бюджета.

В конце 80-х IBM и Microsoft сообща трудились над операционкой будущего — OS/2, но их пути разошлись. В итоге триумф достался Windows 95, ставшей новым стандартом для ПК. Но давайте представим альтернативный сценарий, в котором корпоративный мир в 90-х сделал выбор в пользу OS/2. 

Привет, Хабр! Часто ли Вам приходится в сотый раз нажимать стрелку вверх в PowerShell для поиска нужной команды? Или, может быть, не замечать случайные опечатки в длинном пути? Сегодня мы превратим стандартную консоль в удобный инструмент с автодополнением и поиском по истории с помощью модуля PsReadLine, а главное - добавим нормальные функции Copy/Paste. Я поделюсь с Вами готовым конфигом, который сделает ежедневную работу в консоли быстрее и приятнее.

Одним из популярных применений VDS является хостинг игровых серверов. В нашу поддержку неоднократно приходили обращения, в которых пользователи интересуются возможностью создания игрового сервера на VDS (чаще всего хотят развернуть свой сервер в Minecraft или в GTA 5), поэтому мы решили на практике показать, что это возможно и в этом нет ничего сложного. В данном примере мы рассмотрим создание собственного сервера в GTA 5 на базе фанатского проекта FiveM. Сервер GTA довольно требовательный к железу, поэтому и VDS-сервер для него будет не самым дешёвым.

Диски NVMe с интерфейсом PCIe Gen 5 обещают удвоенную производительность по сравнению с Gen 4 и впечатляющие скорости за 14 000 МБ/с. Но насколько эта скорость необходима в реальных задачах и кому действительно стоит планировать переход? Разбираемся в особенностях разных поколений PCIe SSD и помогаем определить, когда апгрейд имеет смысл.

Контроль основных метрик веб‑сервера или балансировщика — основа надежной работы системы. Ранее мы разбирали работу с мониторингом через API и Angie Console Light, но это не единственный вариант, доступный в Angie. Использование встроенного экспортера Prometheus и визуализация через Grafana дают принципиально другие возможности. Итак, в этой статье мы запустим полноценную систему мониторинга Angie.

Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. 

В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

В современном бизнесе ИТ-инфраструктура — не просто рабочий инструмент, а основа стабильности компании. Потерянные данные, неучтенные компьютеры или устаревшее программное обеспечение могут стоить дорого. Страховой брокер Remind столкнулся именно с этой задачей: как взять под контроль более сотни рабочих станций.

Привет, хабровчане! Если вы занимаетесь DevOps, системным администрированием или кибербезопасностью, то Wazuh — это ваш must-have для мониторинга и SIEM. В этой статье (и соответствующем видео на моём канале) мы разберём секцию в конфигурации агента Wazuh. Это ключевой компонент Logcollector'а, который отвечает за сбор логов из файлов, системных событий, команд и даже journald. Без правильной настройки вы рискуете пропустить важные события или утонуть в шуме.

Статья основана на официальной документации, с практическими примерами из реальных конфигов. Если необходимо видео, то можно посмотреть тут.

Дорогие читатели, вы, наверное, не слышали об AerynOS. Это — новый дистрибутив, который его автор — Ikey Doherty — спроектировал прямо с нуля, используя свой богатый опыт с Solus Linux и ClearLinux. Хорошая новость — в том, что всё получилось, и дистрибутив сейчас в стадии твёрдой альфы, плохая — что автор снова отошёл от дел на неопределённое время.

Но, прежде чем взять долгую паузу в разработке, Ikey Doherty написал длинный пост о технической стороне вопроса — какие идеи были заложены в AerynOS и как они воплощались на практике. Несмотря на то, что всё удалось реализовать, как задумывалось, в некоторых вопросах, всё‑таки, выяснилось, что «зашли не в тот подъезд». Но в целом, после прочтения этого поста складывается некоторая картина - как должен выглядеть современный дистрибутив — чем и хочу с вами поделиться.

Истории из реальных аудитов, где всё пошло «чуть‑чуть не так».

Мы бываем в десятках компаний в год — от заводов и банков до IT‑стартапов. Кто‑то зовёт нас «для галочки», кто‑то «перед проверкой Роскомнадзора», кто‑то просто «посмотреть, всё ли у нас нормально».

И каждый раз мы приезжаем в уверенную, стабильную, «защищённую» компанию. Админы показывают аккуратные схемы сети, SIEM светится зелёным, политики паролей лежат в папке "ИБ_утверждено.pdf".

Но чем глубже смотришь - сервера, забытые VPN, бэкапы, которые съедают прод, и принтеры, через которые можно войти в почту директора.

И самое поразительное - почти никогда нет злого умысла. Только спешка, удобство и уверенность, что «оно же работает, зачем трогать».

Мы собрали несколько историй, которые особенно запомнились. Все они реальные, из аудитов последних месяцев. Ошибки — неочевидные, но каждая могла обернуться катастрофой.

1. История про Wi-Fi, который слышал всё

Обычный корпоративный Wi-Fi. Для сотрудников — одна сеть, для гостей — другая, через VLAN. На бумаге всё идеально.

Но когда мы посмотрели arp -a, внезапно появился контроллер домена.

Трассировка показала, что гостевая сеть идёт тем же маршрутом, что и внутренняя. А DNS-запросы обслуживает корпоративный DNS с SRV-записями Kerberos.

Любой гость с ноутом в переговорке мог поднять responder, перехватить NTLM-хэши и начать брутить офлайн.

Привет, Хабр! Меня зовут Саша, я ведущий специалист технической поддержки по услугам информационной безопасности в Selectel. В последние годы многие начинают задумываться о повышении безопасности своих информационных ресурсов. И это неудивительно, ведь кибератаки и связанные с ними риски касаются как крупных компаний, так и небольших проектов, использующих в работе пару серверов.

Конечно, тяжело написать универсальный гайд, который полностью закроет все вопросы по ИБ для каждого случая. Все кейсы — разные и требуют отдельного рассмотрения и анализа, а также регулярного обновления средств защиты и мониторинга для поддержания системы в актуальном состоянии.

В этой статье я буду использовать стенд, на котором можно наглядно смоделировать типовые проблемы при проектировании безопасной системы. Мы ориентировались на базовые потребности, которые могут возникнуть, когда речь заходит об информационной системе для организации. И, надеюсь, наш небольшой разбор познакомит вас с базовыми принципами проектирования безопасной инфраструктуры, а также поможет разобраться в основных услугах. Подробности под катом!

ATOM: автоматизация сети ЦОД начинается с решения рутинных задач

Всем привет! Это наша первая статья про нашу систему автоматизации. Мы активно занимаемся разработкой системой автоматизации и визуализации АТОМ для сетей ЦОД в компании Ростелеком, о которой пойдёт речь.

Лень — двигатель прогресса. Именно по этой причине Ansible — лучший друг любого админа, которые не хочет руками применять настройки к 1000 серверов. Я использую его на регулярной основе, но при этом именно тема инвентарных файлов каждый раз умудряется меня удивить. Поэтому в этой статье решил собрать всю общую информацию, начиная с inventory.ini и заканчивая плагинами для динамических инвентарей.

Инвентарь — это не просто список серверов. Это карта вашей инфраструктуры, в которой отражено, где что находится, как ко всему подключаться и какие настройки применять. Правильно организованный инвентарь может сэкономить кучу времени, а неправильный — превратить деплой в бесконечную отладку.

Современная инфраструктура приложений динамична и требует гибкости от конфигурации ключевых элементов. В этой статье мы разберём все варианты реализации динамических групп серверов (upstream) в Angie. С помощью этих методов вы сможете изменять состав и статус серверов без вмешательства в конфигурацию Angie. 

Сначала были физические серверы - дорогие и неэффективные. Затем пришли виртуальные машины, которые позволили запускать несколько изолированных ОС на одном железе. Но цена изоляции оставалась высокой: полная копия ОС, гигабайты диска, минуты на запуск.

Контейнеры - следующий шаг эволюции. Зачем виртуализировать целое железо и запускать полноценную ОС, если можно изолировать только сам процесс, используя встроенные механизмы ядра? Этот подход на порядок легче, быстрее и эффективнее.

Если вы когда-нибудь пытались объяснить финдиру, почему вам нужно больше денег и еще больше мощностей, или искали ответ на вопрос, какой отдел ответственен за половину бюджета на инфраструктуру, значит, вы в клубе. В клубе тех, кто каждый месяц смотрит на список из сотен виртуалок и вообще не понимает: зачем они нужны, кто за них отвечает и что с ними делать дальше. 

Это финал нашей трилогии про FinOps в Cloud Director. В первых двух частях мы разобрали, как тегировать ресурсы и не сойти с ума, а сейчас посмотрим, что с этими данными делать дальше. 

Если вы не знакомы с тегированием и принципами организации ресурсов в VMware, то загляните в часть 1, где мы разобрали тегирование как таковое, и в часть 2 — про инструменты пользователя Cloud Director. 

Статьи предназначены для тех, кто только начинает разбираться с FinOps и Cloud Director. Хотя если вы уже год мучаетесь с виртуалками и никак не можете понять, куда утекает бюджет, вам тоже сюда.

Показывать буду на примере нашей платформы Cloudmaster. На самом деле, можно и в Excel — принципы-то одинаковые. Просто с Cloudmaster будет сильно быстрее, потому что не надо каждый раз переписывать формулы. Если политика безопасности позволяет, можете попробовать 14 дней бесплатно. А если нельзя или не хочется, для каждого шага добавлю альтернативу, как провернуть это в обычной табличке. Помечать буду вот так: 🔢📊. Подробности реализации формул и CLI-скриптов за рамками статьи. Там никаких хитростей, только ваше время и внимание.

Если у вас есть удаленные сотрудники, которые работают удаленно где-то в Тайланде то статья для вас)

В условиях изменяющейся сетевой инфраструктуры пользователи мобильного интернета сталкиваются с вопросами: какие ресурсы остаются доступными, и как это выглядит на техническом уровне? Этот материал — результат практического исследования с использованием стандартных инструментов сетевого анализа.

Никаких домыслов — только измерения, цифры и технические факты.

Здраствуйте, коллеги. Сегодня делаем базовые конфиги на Palo Alto: NAT для выхода в интернет, лог-форвардинг, security-профили, интерфейсы, роутинг и сервисные роуты. Всё коротко, понятно, с примерами.