Лирическое вступление…

Прочитав несколько топиков по данной тематике («Почему я люблю Microsoft. Заметки Зомби» и «Строим инфраструктуру на базе продуктов MS»), решил поделиться своими историями, накопленным опытом и знаниями… Уже много лет тружусь на промышленном предприятии, сначала инженером, а потом и начальником отдела ИТ. Имея опыт успешных внедрений на родном заводе, опыт проектирования и реализации крупных инфраструктурных проектов в других компаниях, изначально хотел написать очередную «success story» о том, как мы эффективно используем инфраструктурные решения от известной компании MS, о том, какие они замечательные для специалистов ИТ, для пользователей и для бизнеса в целом. Но в итоге решил попробовать передать атмосферу строительства ИТ-инфраструктуры предприятия, показать факторы, которые привели нас к текущему состоянию, а также рассказать о ключевых ошибках. А в фокусе, конечно же, постараюсь держать решения от MS.

После публикации своего первого поста «Почему я люблю Microsoft. Заметки Зомби» я получил достаточно много писем с похожей просьбой — написать подробнее об используемых продуктах.
Просили — получите. При написании статья я поставил себе цель — описать основной маршрут. Расписывать тонкости установки и настройки нет смысла — их достаточно в Интернет. Я старался, чтобы прочитав этот пост администратор знал названия продуктов и технологий, для чего они нужны и потом уже мог ловко нагуглить всё остальное. Для того, чтобы облегчить поиск ключевые названия будут на английском. Если какая-то аббревиатура незнакома — это повод про неё почитать. И, да, я буду описывать решения от Microsoft, так как что-то смыслю только в них. Хочу сразу предупредить что топик очень конспективный.

Давай подумаем — что еще может интересовать молодых людей, только что
закончивших универ и ставших аспирантами…

Эдвард Тафти в Envisioning Information упоминает об одном способе выбора цветовой палитры для оформления. Он говорит, что очень хорошо использовать цвета окружающего нас мира. Человеку должны быть приятны те сочетания цветов, которые окружают его в природной приятной обстановке в солнечный день.

Решив попрактиковаться, я взял несколько своих мыльничных фотографий, потыкал в них пипеткой и покрасил получившимися цветами маленький бессмыссленный шаблон.

Вот погожий зимний пейзаж



Под катом еще фотографии, а если вам интересен Тафти, у меня на сайте есть ссылки на его книги и примеры из них.

Буквально сегодня понадобилось дать человеку возможность перезапускать тестовый вебсервер под виндой.
Права админа давать естественно давать не хочется.
«Мощный» юзер не подходит.

букв много

Публикую в персональный блог — потому что тут не будет подробного описания, инструкций и прочего.

Это просто пост счастья человека, открывшего для себя Jabber с другой стороны.

Суть в том, что мне понадобился свой Jabber-сервер на Debian с https-соединением для параноидального общения из офиса по ICQ.

С прошлых экспериментов помнил, что Jabber-сервер — штука сложная, хитрая и не всегда податливая без чтения мануалов.

Но в этот раз я решил начать не с eJabberd и прочего, а с OpenFire.

К началу весны компания Microsoft приготовила студентам беспрецедентный подарок — в рамках программы DreamSpark теперь можно получить бесплатный ваучер на сдачу сертификационного экзамена на статус Microsoft Certified Technology Specialist!

Хью Дабберли и люди из студии Dubberly Design Office проделали огромную работу по поиску и обработке теоретических описаний процесса дизайна. Около 130 моделей составили содержание их книги How Do You Design. Книга написана для образовательных целей и свободно доступна на сайте авторов.



Кто недавно читал про схему от AIGA и удивлялся сереньким цветам вместо красного — это как раз оттуда. На своем сайте я отдельно перевел и выложил пару наиболее любопытных схем («AIGA» в том числе).

Под катом — еще немного слов про книгу.

Какими свойствами должен обладать хороший тимлид? Он, несомненно, должен быть технарем, иметь разносторонний опыт, уметь налаживать диалог внутри команды и с начальством, вести дискуссии и принимать решения, брать на себя ответственность, понимать бизнес-процессы, думать как заказчик и владелец бизнеса. Ну и быть немного психологом.

В отечественном IT я часто наблюдаю следующую картину: тимлидом часто становился лучший (?) разработчик из команды (aka 23-летний сеньор). А чтобы стать руководителем проекта (project manager) иногда достаточно просто знать английский и «павэрпойнт» на уровне пользователя. Это реалии отечественного аутсорсинга и с этим нужно как-то жить.

В итоге часто получается как-то так:

Потому что на десять сеньоров по статистике девять тупят.

Чистое SEO, которое так не любят многие профи от веба, медленно, но верно умирает. И слава богу.

В нашем блоге на Хабре мы уже пытались выяснить причины такого отношения и посмотреть на проблему с разных сторон.

Совсем недавно хороший знакомый рассказал свое видение того, почему со словами «продвижение» и «SEO» связан на 99% негатив со стороны разработчиков.

Получилась сказка.

Действующие лица:
Будущий владелец сайта – человек, считающий себя супер-бизнесменом и уверенный, что знает все лучше других;
Вебмастер – начинающий верстальщик-программист-дизайнер, который полагает, что установка бесплатной CMS с типовым шаблоном и закидывание на все это контента, который остался от полиграфических материалов клиента, и есть разработка сайта;
SEOшник – рубаха-парень, который прочитал пару книг по оптимизации, освоил биржу ссылок и зарегистрировался три месяца назад на форуме оптимизаторов.

Привет, Хабр!
Сегодня я расскажу и покажу вам, как можно использовать всю мощность ваших видеокарт для игр перебора паролей к Wi-Fi. Как-то не комильфо в наше время использовать только процессорные мощности под эти задачи (в частности aircrack-ng), когда в 80% компьютеров есть видеокарта. Поэтому разумно использовать всю потенциальную мощность ваших систем. А именно, речь пойдет о замечательной программе pyrit.

Думаю многие фрилансеры и не только, задавались этим вопросом. Сначала написал целый абзац текста, а потом подумал зачем лить воду? В общем вот конкретика:

Давным-давно я написал набор костылей для автоматического копирования дисков под windows.

Сейчас мне приспичило то же самое под linux.

Скрипт сильно полагается на отрабатывание udev'ом автомонтирования и заточен под текущее состояние дел в lenny (и, вероятнее всего, в бубунтах). Предусмотрена ситуация нескольких CD (обрабатывается первый) и наличия loop-device'ов (монтированных ISO), они пропускаются.

Принцип работы: запустили скрипт, вставили диск, он скопировался, диск выдвинулся, как только вставили следующий, он снова скопировался. Отлично подходит для копирования пачки дисков без отвлечения на нажатия кнопок на клавиатуре.

#!/bin/sh
target="/pub/anime/from_cd"

while true
do
        mounted_cd_path=`mount|grep -v /dev/loop|grep iso9660|head -n 1|awk '{print $3}'`
        mounted_cd_device=`mount|grep "$mounted_cd_path"|awk '{print $1}'`
        if [ $mounted_cd_path- = - ]
        then
                sleep 5
                continue
        else
                name=`volname $mounted_cd_device`
                echo $name: $mounted_cd_device mounted to $mounted_cd_path
                mkdir $target/$name
                cp -R $mounted_cd_path/* $target/$name
                eject $mounted_cd_device
                echo "ejected, please instert next disc or press Ctrl-C to exit"
        fi
done

Итак, мы все знаем про подлых пользователей c UID=0 в unix, которых может быть больше одного.

Посмотрим, как такое же (а на самом деле, даже более страшное) организовывается в инфраструктуре Windows. Разумеется, мы говорить будем не про локальные виндовые учётные записи, а про Active Directory, т.е. говорить будем об администраторе домена. Или, даже, хуже, об enterprise administrator.

Итак, истина номер один: у объектов в active directory есть атрибуты и права доступа.
Истина номер два: эти атрибуты можно менять.

Как легко понять, мы МОЖЕМ сделать учётную запись с фантастическими правами, к которой не будет доступа НИ У КОГО. Однако, он сможет логиниться, блокировать, разблокировать, менять свои атрибуты и атрибуты чужих людей.

В самом страшном случае, это будет пользователь с волшебным SID-*500, которого не позволяет удалить уже сама винда. (Для этого нужно переименовать, а на его место положить другого пользователя с ником Administrator и с полными правами).

В этом топике расскажу как можно в пару скриптов наладить простой сбор статистики по аномальной активности в сети.

Аномальным для нас будет на момент снятия статистики:

1. Более 20 исходящих коннектов по 25 порту с 1 IP.
2. Более 100 исходящих коннектов по 80 порту с 1 IP.
3. Более 100 исходящих коннектов по 53 порту с 1 IP.
4. Придумывайте сами, всё гибко.

Статистику будем вынимать из кэша netflow маршрутизаторов. Будет ли это Cisco или FreeBSD — не важно. О настройке netflow на FreeBSD я рассказывал в предыдущих своих статьях.

Для начала — что такое WiX? Технология WiX (Windows Installer XML) представляет собой набор инструментов и спецификаций упрощающих процесс создания дистрибутивов на базе MSI (Microsoft Installer). Если объяснять проще то это обертка вокруг MSI с человеческим лицом.

На мой взгляд изучать проще всего на простых примерах. В данной статье я приведу пример простейшего инсталлятора.

QoS — тема большая. Прежде чем рассказывать про тонкости настроек и различные подходы в применении правил обработки трафика, имеет смысл напомнить, что такое вообще QoS.

Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании.

Во-первых, легко понять, что любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Именно там, в очереди, можно «проскользнуть» первым, используя своё право.
Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек. На всех.

Во-вторых, QoS не панацея: если «горлышко» уж слишком узкое, то часто переполняется физический буфер интерфейса, куда помещаются все пакеты, собирающиеся выйти через этот интерфейс. И тогда новопришедшие пакеты будут уничтожены, даже если они сверхнужные. Поэтому, если очередь на интерфейсе в среднем превышает 20% от максимального своего размера (на маршрутизаторах cisco максимальный размер очереди составляет как правило 128-256 пакетов), есть повод крепко задуматься над дизайном своей сети, проложить дополнительные маршруты или расширить полосу до провайдера.

Разберемся с составными элементами технологии

(дальше под катом, много)

Один очень близкий мне человек, поклонник Хабра, захотел внести вклад в развитие блога Cisco. Являясь яростным поклонником того, что создает эта корпорация, он захотел поделиться опытом. =) Надеемся росчерк пера удался.

Относительно недавно мне посчастливилось познакомить и даже поконфигурять multicast routing для IPTV. Изначально, я с этой темой была совершенно не знакома, и это заставило меня вылакать горлышко от цистерны водки перекопать огромное количество документации, чтобы войти в курс дела.

И вот незадача. Обычно в документации выкладывают все и сразу и для человека, впервые столкнувшегося с этой темой, не понятно с чего начать. Во время чтения pdf’ок я ловила себя на мысли, что было бы неплохо наткнуться где-нибудь на статью, которая могла бы коротким путем провести от теории к практике, чтобы понять с чего стоит начать и где заострить внимание.

Мне не удалось обнаружить такую статью. Это побудило меня написать эту статейку для тех, кто также как и я столкнется с вопросом, что это за зверь IPTV и как с ним бороться.

Ссылки на остальные части: вторая, третья, четвертая, пятая

Наверное все согласятся с тем, что для начинающего интернет-проекта необходима централизованная система AAA (Authentication, Authorization, Accounting): множество пользователей, куча боевых серверов, чуть поменьше серверов разработки, svn, админки, etc…
Передо мной тоже встала такая необходимость и я хочу рассказать о том что у меня получилось.
Итак, что нам потребуется установить и настроить:

1. OpenLDAP, естественно с репликацией
2. Бэкап LDAP'а — именно вторым пунктом, можно первым (-;
3. phpldapadmin, планирование групп и шаблонов
4. авторизация для админок — Apache HTTPD mod_ldap
5. авторизация для svn (+sasl)
6. авторизация для доступа по ssh — pam_ldap

Будем считать, что вы уже активно осваиваете хитрости настройки через консоль. Пришло время рассказать ещё несколько тонкостей. О чём имеет смысл подумать при настройке маршрутизаторов и коммутаторов cisco.

Тонкость 1. Аккуратность.
Часто возникает задача что-нибудь добавить в текущую конфигурацию. Наверняка вы знаете, что многие элементы пишутся отдельно, а отдельно применяются (на интерфейс, ко всей железке и т.д.). Будьте крайне осторожны, изменяя настройки таких технологий, как PBR (route-map), QoS (policy-map), IPSec (crypto map), NAT. Лучше всего сначала снять их с использования, потом изменить, потом повесить снова. Связано это с тем, что все изменения вы вносите сразу же в состояние железки. Иногда то, что уже работает (например, подгружено в оперативку) конфликтует с новым конфигом. Не редки ситуации, когда железка уходит в перезагрузку после попытки изменения конфига.

Пример: пусть у нас есть route-map, примененный на интерфейс. Пусть нам надо его изменить. Наиболее «чистый» способ такой: