В корпоративной среде часто возникает задача раздать сертификаты ЭЦП всем сотрудникам. Стандартные методы certutil и Import-PfxCertificate не всегда работают: приложения вроде СБИС не видят такие сертификаты. В статье рассказываю, как автоматизировать распространение с помощью PowerShell и GPO — с заменой SID, импортом в реестр и копированием файлов.
Видеокарты NVIDIA на архитектуре Blackwell в очередной раз трансформируют рынок GPU. Три новые модели — RTX Pro 2000 Blackwell, RTX Pro 4000 SFF Blackwell Edition и RTX Pro 6000 Blackwell — делают технологии AI и высокопроизводительных вычислений более доступными для широкого круга компаний.
В этой статье мы рассмотрим характеристики, возможности и потенциальные сценарии использования новых серверных GPU NVIDIA Blackwell начального и среднего уровня, которые выйдут на рынок до конца 2025 года.
Детективная история о том, как к одному из наших партнеров ГК IT Expert пришла торговая сеть с пропажей 200 компьютеров в CMDB. И как получилось их найти с помощью интеграции с ИТМен-Вентурой.
Когда я только начинал дежурить, телефон ночью был моим главным врагом: PagerDuty вырывал из сна десятки раз, а инциденты превращались в хаос. Со временем я понял, что on-call можно превратить в предсказуемый процесс — с правильными алертами, runbook-ами и командной культурой. В этой статье расскажу, как я перестал бояться алертов и научился относиться к дежурствам спокойно. Будет личный опыт, фейлы и практические советы
Привет, Хабр! Думаю, многие сталкивались с необходимостью генерации тысячи пользователей. Вручную - не вариант, слишком долго. В данной статье разберу библиотеку Faker. Это генератор реалистичных тестовых данных, который превращает заполнение базы и создание демо-контента из рутины в дело пары строк кода. В статье продемонстрирую, как генерировать тысячи правдоподобных записей на русском, заполнять БД и создавать собственные типы данных для ваших проектов.
Управлять современной инфраструктурой на Astra Linux — задача не из простых. Одного домена и групповых политик недостаточно, если тебе нужно не просто завести пользователей, а держать под контролем всё: от списка «железа» для каждой машины до установленного ПО, от массового обновления ОС до переустановки софта на десятках рабочих станций без физического доступа. В реальности всё это оборачивается множеством скриптов, таблиц в Excel и флешками, которые кто-то обязательно потеряет. Можно ли этого избежать? Кажется, что да…
Когда я только начинал работать с инфраструктурой, всё выглядело как бесконечный пожар: сотни алертов, ночные звонки, хаотичные релизы и нервы на пределе. Мы гасили инциденты вручную, но проблема возвращалась снова и снова.
Ситуация изменилась, когда я познакомился с практиками SRE: SLO, SLI и error budget. Они помогли превратить хаос в систему и объяснить бизнесу надёжность на понятном языке. Теперь вместо бессмысленного «сервис упал!» мы обсуждаем конкретные цифры: сколько бюджета ошибок потрачено и когда можно катить релиз.
В этой статье расскажу, как мы внедрили наблюдаемость на основе golden signals, научились писать постмортемы без поиска виноватых и встроили задачи по надёжности прямо в бэклог. Всё — из реальной практики инженера, который за год прошёл путь от «тушения пожаров» к спокойной работе с прогнозируемой стабильностью.
Теперь ресурсы контейнеров в Kubernetes можно менять «на лету» — без перезапуска и простоев. В статье рассказываем, как работает in-place resize, где эта функция реально спасает приложения от перегрузки и какие ограничения стоит учитывать на практике.
В современной экосистеме электронной почты безопасность доставки сообщений является критически важной. Протокол SMTP, будучи фундаментальным, изначально не был защищен. Для его защиты был разработан механизм SMTP TLS, который обеспечивает шифрование соединения между почтовыми серверами. Однако он уязвим к атакам "человек посередине" (MitM), если злоумышленник может подделать сертификат.
Технология DANE (DNS-based Authentication of Named Entities) решает эту проблему, используя DNSSEC в качестве корня доверия. TLSA-запись в DNS связывает доменное имя сервера с его сертификатом или открытым ключом. Получатель почты может проверить, что сертификат отправителя соответствует записи в DNS, защищенной DNSSEC, что делает подделку практически невозможной.
Для работы DANE необходимо, чтобы TLSA-записи всегда соответствовали действительным сертификатам на сервере. Этот процесс идеально подходит для автоматизации.
На помощь можно использовать: Python-скрипт для автоматического обновления TLSA-записей
Представленный Python-скрипт решает задачу автоматического обновления TLSA-записей на авторитативном DNS-сервере PowerDNS при обновлении сертификатов. Это ключевой компонент для поддержания актуальности DANE в инфраструктуре.
Привет! Меня зовут Андрей Колесников, я тимлид одной из DevOps-команд Авито. Уже 10 лет я работаю с высоконагруженными и бизнес-критичными системами. В этой статье рассказываю, как мы управляем нашей инфраструктурой с помощью Puppet, и объясняю, почему мы продолжаем его использовать.
Вам когда-нибудь хотелось создать собственный системный вызов? Может быть, вы получали такое домашнее задание, пытались сделать это из интереса или просто для того, чтобы узнать что-то новое о ядре. В любом случае, системные вызовы – крутая штука, чтобы подробнее разобраться в Linux.
25 августа отмечается международный день Линукс, именно в этот день 33 года назад Линус Торвальдс завершил работу над первой версией ядра. В этом материале мы поговорили с коллегами, для которых Linux это не только рабочая, но и домашняя реальность, и попытались выяснить, что же это за великий и ужасный Linux.
34 года назад Linux был скромным хобби-проектом, а что же сегодня? Сегодня операционные системы на базе Linux действительно завоевали весь цифровой мир! Вот лишь несколько цифр, которые показывают, как далеко шагнула система:
Привет, %username%! Уважаю твое личное время, поэтому без лишних слов - сразу к делу. В этой статье я кратко опишу, как настроить доступ к удаленному серверу по SSH с использованием Keycloak. Разберем, в чем преимущества этого решения, и что именно происходит в процессе такой авторизации.
В этой статье показано, как создать электронные часы и описано, как создавать виджеты для Zabbix младших версий, ниже версии 7.0, где этого функционала не предусмотрено инструкцией Zabbix. Данная статья актуальна, так как до сих пор на большинстве проектов используется Zabbix младших версий. Особенно часто используется Zabbix младших версий из репозитория Astra Linux для проектов на этой системе. В репозитории для Astra Linux ниже 1.8, а также в других репозиториях Linux часто используется Zabbix версии ниже 7.0. В результате чего, на объектах, от системных инженеров поступают замечания на стандартные аналоговые часы Zabbix, которые совершенно не информативны. Эта статья решает проблему отсутствия электронных часов в Zabbix путём изменения стандартного виджета Zabbix clock, добавляя ему возможность выбора типа часов, сохраняя остальные настройки. Результат работы кода показан на рисунке 1 и 4.
Сегодня я расскажу, как установить простой сервер для видеоконференций. Его можно использовать, чтобы звонить родственникам или знакомым в эти непростые времена, или же просто иметь в виду как запасной вариант на случай перебоев с другими более известными сервисами.
Сервер называется Galene, github. Он был разработан во время пандемии в Парижском университете как инструмент для проведения удалённых занятий. Со временем его возможности расширились, и теперь по функционалу он ближе к Jitsi Meet.
Приветствую! В любой сети устройства должны получать IP-адреса, шлюзы и DNS-серверы, чтобы корректно обмениваться данными и иметь доступ в Интернет. Конечно, можно настраивать всё вручную, но в реальной жизни это неудобно и часто приводит к ошибкам. На помощь приходит протокол DHCP (Dynamic Host Configuration Protocol). Его задача проста - автоматически раздавать клиентам все необходимые сетевые параметры, включая IP, маску подсети, шлюз и DNS.
В этой работе мы подробно разберём, как работает DHCP, от процесса обмена сообщениями DORA (Discover, Offer, Request, Acknowledge), через анализ сетевого трафика в Wireshark, до настройки DHCP-сервера на MikroTik и Ubuntu-Server. Мы также рассмотрим дополнительные возможности протокола, такие как DHCP Relay, который позволяет обслуживать клиентов в других подсетях.
Думаете, виноват провайдер? Мало что способно вывести из себя так сильно, как капризный Wi-Fi. Вроде бы пару минут назад интернет «летал», а теперь всё внезапно зависло — видео не грузится, Zoom/Google Meet прерывается так, что не слышно коллег, а лампочки умного дома работают через раз.
Тысячи раз слышим совет «перезагрузите роутер», но редко кто задумывается, что стоит за лагами — перегруженные частоты и ограниченные ресурсы невидимого соседства. Детали внутри.
Аутентификация с использование паролей «заслуженно» можно назвать устаревшей. Да, десятилетиями мы использовали логин и пароль для входа в различные приложения. Но сегодня этот способ аутентификации сложно назвать действительно безопасным. Злоумышленники могут подселить на машину вредонос‑кейлоггер, который будет сохранять все нажатые клавиши и позволит атакующим узнать наши учетные данные. Также, при определенных условиях хакеры могут перехватить наши учетки при передаче по сети. Конечно, повсеместное использование TLS существенно снижает риски перехвата, но все же не предотвращает их полностью.
Ну конечно новомодный фишинг — отдельная головная боль безопасников. Несмотря на все предупреждения определенная часть пользователей продолжает вестись на мошеннические письма, переходить по подозрительным ссылкам и вводить свои учетные данные.
Любая сеть растёт быстрее, чем ты успеваешь её документировать. Сначала у тебя десяток серверов и пара коммутаторов, можно вести учёт адресов в табличке. Но как только устройств становится сотни, а IP‑адресов тысячи, Excel превращается в минное поле.
Проблемы начинаются банально:
Один инженер раздал IP вручную, второй занял тот же диапазон под тест, подсеть легла. Забыли зафиксировать, кому выдан адрес, и теперь никто не понимает, что за «сервер Х» висит в мониторинге. Конфликт VLAN и вся смена сидит без CRM.
Классика. Если нет централизованного учёта, сеть рано или поздно начнёт «жечь костры».
Именно для этого придумали IPAM (IP Address Management) — системы, которые берут на себя:
В этой статье мы подробно рассмотрим все ключевые параметры OpenSearch, включая дашборды, документы, индексы, узлы, кластеры, шардирование, инвертированные индексы и сам процесс индексации. Понимание этих аспектов позволит максимально эффективно использовать OpenSearch для решения задач поиска и анализа данных в любых проектах.
Привет, Хабр! Меня зовут Евгений Ляшенко, я старший разработчик IBS. В эпоху, когда объемы данных растут с каждым днем, эффективный поиск информации становится критически важным для бизнеса и разработчиков. OpenSearch как мощный инструмент для полнотекстового поиска и аналитики предлагает гибкие решения для работы с большими массивами данных. Чтобы наглядно продемонстрировать его работу, я создал pet-проект с поиском по библиотеке книг и фильмов. Но сначала немного теории.
