А сотню-другую пользователей тоже через гуи добавлять будете? А конфиг dhcp, к примеру, из гуи бэкапите? Глупые мелкомягкие зря сделали powershell - ведь из гуи проще?
Гуй заточен на выполнение строго ограниченного набора задач. Если пихать в гуй всё, что может потребоваться администратору - сложность гуя в итоге приведёт к его полной неюзабельности. Не говоря уже про проблемы автоматизирования задач. Это либо мастрячить свой крон в каждый гуй и кучу вариантов запуска в него же, либо писать второй only-cli вариант гуя и мы получаем то, от чего хотели уйти.
Я писал про ситуацию https + HSTS (посмотрите на мой первый пост!). Ответ, который указываете вы в этом случае возможен только если за последний ГОД клиент ни разу на данном браузере не открывал эту ссылку. Как правило - это очень редкий случай. Вот подробно рассмотрено - https://medium.com
P.S. Кстати, у вас на скрине ответ "узел получил действительный сертификат", что мне не очень понятно - у провайдера оказался сертификат сайта, который он заблочил? Или вы попытались сами симитировать ситуацию средствами этого же вэб-сервера?
Браузер устанавливает соединение на порт 443. Не 80. Чтобы ответить с порта 443 надо подписать ответ сертифактом домена запроса, но этого сертификата у провайдера нет. Дальнейшее общение для браузера клиента будет выглядеть как 100% MITM атака. Там есть нюансы, конечно, но в большинстве случаев просто так открыть страничку с сообщением о блокировке юзеру не удастся. Вот тут хорошо написано - https://medium.com
Это вам кажется. Чтобы отправить код ошибки, надо представиться сайтом, на который шёл пользователь. В случае https вы должны отправить ответ, подписанный сертификатом, к которому привязан домен запроса. Если вы отправляете ответ со своим сертификатом, браузер клиента видит несовпадение и шлёт вас нафиг. Да, многие браузеры позволяют открыть такую страницу, но всё равно пишут клиенту ругань о некорректном сертификате. А теперь представьте сколько звонков в техподдержку провайдера будет по этому поводу (ибо 90% клиентов и "не подумают/не догадаются как" нажать ещё 3 кнопки, чтобы открыть страничку с сообщением) с претензией фишинговом сайте через этого провайдера и криками что их взломали. Гораздо проще отвечать на претензию ACCESS_DENIED.
zfs как системный я тоже не юзал - раньше его просто так не запустить было. для данных же он работает отлично.
mdadm+lvm конечно создают избыточность, зато заводятся "из коробки". с зеркальным lvm же надо делать предварительные телодвижения, что в единичной инсталляции не имеет значения, но в массовой - задолбаешься...
Всё зависит от сферы применения и количества устройств. Если это домашний сервер или у вас пара десятков серверов - ставьте что угодно. Если речь идёт о большом парке серверов - дебиан крайне неудобен. За что люди любили centos? За то, что поставил его на сервер и следующие 10 лет он на этом сервере будет работать! Что делать с дебианом и 3 годами жизни? Каждые 3 года налетать на обновление операционки и сопутствующего софта? На большом парке устройств? Ну, только если вы каждые 3 года меняете оборудование. В противном случае этот кошмар не нужен никому и выбора, сейчас, по сути нет - только ubuntu lts (к сожалению, Centos - R.I.P.)
У меня старый ноут HP Envy 6 (2012 год). Жив (почти). Работает. За эти 8 лет, сломалось:
— Крепление крышки (положили карандаш и попытались закрыть крышку. Когда не получилось — надавили...). Пришлось приколхозить заклёпки.
— Клавиатура (Через 6 лет — после командировки в Питер. Сырость, чтоли...). Вышло из строя половина клавиш. Отключил шлейф. Купил малогабаритную внешнюю клаву — 500р.
— HDD. Не сдох, но был заменен на SSD за 2500р.
— Память — доставил ещё 4Г (aliexpress. Цену точно не помню, но в пределах тысячи вроде бы). Сейчас 8Г. Для работы — вполне достаточно даже для windows 10
— wifi карта. Заменил старую 802.11n на новую 802.11ax — до 800М на 5-ке выдаёт. 1600р вроде бы.
— Аккумулятор ещё работает, как ни странно (8 лет). 1.5 часа держит.
— usb3, конечно… Но мне оно на ноуте нафиг не надо. Слить данные по сети проще.
Итого, апгрейд/ремонт за 8 лет обошёлся около 6 тысяч. Пока совсем не сдохнет — менять не буду.
Так что если брать ноут для работы, а не игрушек — старые модели вполне нормальные. Апгрейд минимален. Просто совсем уж калькуляторы брать не надо.
А просто кроме OpenVPN это никто не поддерживает. Вообще — боле чем странно, что никто не озаботился такой простой опцией, как отдать маршруты клиенту. Так что openvpn по-прежнему вне конкуренции, если надо подключать юзеров. Wireguard — соединять серверную инфраструктуру. SSTP мог бы потеснить openvpn, но… где, где маршрутизация клиенту?! А l2tp+ipsec — традиционные проблемы с натом или зафильтрованными сетями делают проблемным его использование.
А зачем домашнему серверу Удалённый рабочий стол? Я вот, честно, — не представляю. Всё остальное, что вы перечислили, легко реализуется на линуксе.
— NAS — самба для виндовых клиентов, nfs для линуксовых. Графика не нужна.
— торрент качалка — qBittorrent, transmission. Стартуют сервисом. Графика не нужна.
— медиасервер — обалденный выбор приложений, от minidlna до serviio. Графика не нужна.
— подключение к серверу телевизора и просмотр контента напрямую, — единственное, что требует иксов, но опять же, — vlc имеет вэбинтерфейс управления. Заходить на удалённый рабочий стол, чтобы выбрать, что смотреть не нужно вообще.
Ну, а если уж вам так нужен удалённый рабочий стол (не знаю зачем) — настройте vnc или xrdp. Мануалов полно.
Порог входа у Windows ниже, по моему мнению.
Вот с этим согласен. Просто потому, что с виндой люди итак хоть немного знакомы.
Но ведь существует большое количество специализированного софта на базе линукса или фряхи для насов. Правда именно для насов. Смотреть с этого сервера контент напрямую на телевизоре у вас, скорее всего, не выйдет. Только по сети.
Обязаловка по бесплатному доступу даже для клиентов с нулевым балансом к ВК, ОК и иже с ними — это такая себе крышечка для гробика провайдеров и попытка загнать хомячков в свой Чебурнет. Только провайдеры же тоже не идиоты — будет просто сразу расторгаться договор и сниматься оборудование. А поскольку это лишние телодвижения — поднимется цена за услуги. Хотя есть ещё один путь — просто выставлять скорость для выключенных в 64-128к.
Так и хочется вставить картинку с Лавровым…
Ну это же легко проверяется:
host www.7-zip.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: www.7-zip.org has address 159.65.89.65
Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:
Сайт в блокировке по ip. Смена протокола ничего давать не должна. Если у вас открывается через https — значит провайдер чхать хотел на РКН и штрафы и использует только блокировку по http через какой-нить squid. Ну — чисто чтобы можно было сказать, что она у них вообще есть.
Пассивный DPI не видел ни разу. А активный DPI из тех, на которые я напарывался, пропускал только на сайты, играющиеся окном. Но, опять же — сколько администраторов серверов решат сделать такую фишку? Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке. Хотя, может года за 3 оно и приживётся. Посмотрим. Но, это такая себе палка о двух концах — ничего не мешает регулирующим органам начать блочить по ip. Кто там пострадает из невиновных их не колышет.
А вы зайдите и сами цены посмотрите - может тогда сарказм до вас дойдёт...
Зашёл на сайт "Вектор Технологии" - интересно же, что же сейчас ставят интеграторы. Отличные цены, да...
А сотню-другую пользователей тоже через гуи добавлять будете? А конфиг dhcp, к примеру, из гуи бэкапите? Глупые мелкомягкие зря сделали powershell - ведь из гуи проще?
Гуй заточен на выполнение строго ограниченного набора задач. Если пихать в гуй всё, что может потребоваться администратору - сложность гуя в итоге приведёт к его полной неюзабельности. Не говоря уже про проблемы автоматизирования задач. Это либо мастрячить свой крон в каждый гуй и кучу вариантов запуска в него же, либо писать второй only-cli вариант гуя и мы получаем то, от чего хотели уйти.
Я писал про ситуацию https + HSTS (посмотрите на мой первый пост!). Ответ, который указываете вы в этом случае возможен только если за последний ГОД клиент ни разу на данном браузере не открывал эту ссылку. Как правило - это очень редкий случай. Вот подробно рассмотрено - https://medium.com
P.S. Кстати, у вас на скрине ответ "узел получил действительный сертификат", что мне не очень понятно - у провайдера оказался сертификат сайта, который он заблочил? Или вы попытались сами симитировать ситуацию средствами этого же вэб-сервера?
Угу, пока HSTS не было, всё было довольно просто.
P.S. А сейчас у браузеров ещё есть и "вшитый" список сайтов с HSTS
Браузер устанавливает соединение на порт 443. Не 80. Чтобы ответить с порта 443 надо подписать ответ сертифактом домена запроса, но этого сертификата у провайдера нет. Дальнейшее общение для браузера клиента будет выглядеть как 100% MITM атака. Там есть нюансы, конечно, но в большинстве случаев просто так открыть страничку с сообщением о блокировке юзеру не удастся. Вот тут хорошо написано - https://medium.com
Это вам кажется. Чтобы отправить код ошибки, надо представиться сайтом, на который шёл пользователь. В случае https вы должны отправить ответ, подписанный сертификатом, к которому привязан домен запроса. Если вы отправляете ответ со своим сертификатом, браузер клиента видит несовпадение и шлёт вас нафиг. Да, многие браузеры позволяют открыть такую страницу, но всё равно пишут клиенту ругань о некорректном сертификате. А теперь представьте сколько звонков в техподдержку провайдера будет по этому поводу (ибо 90% клиентов и "не подумают/не догадаются как" нажать ещё 3 кнопки, чтобы открыть страничку с сообщением) с претензией фишинговом сайте через этого провайдера и криками что их взломали. Гораздо проще отвечать на претензию ACCESS_DENIED.
Это технически невозможно для большинства сайтов. https - же у всех, а у многих ещё и hsts.
zfs как системный я тоже не юзал - раньше его просто так не запустить было. для данных же он работает отлично.
mdadm+lvm конечно создают избыточность, зато заводятся "из коробки". с зеркальным lvm же надо делать предварительные телодвижения, что в единичной инсталляции не имеет значения, но в массовой - задолбаешься...
Просто интересно - а зачем? Чем не устраивает mdadm? Или zfs, что даже интереснее (вроде бы сейчас убунту можно инсталлить на неё сразу)?
Всё зависит от сферы применения и количества устройств. Если это домашний сервер или у вас пара десятков серверов - ставьте что угодно. Если речь идёт о большом парке серверов - дебиан крайне неудобен. За что люди любили centos? За то, что поставил его на сервер и следующие 10 лет он на этом сервере будет работать! Что делать с дебианом и 3 годами жизни? Каждые 3 года налетать на обновление операционки и сопутствующего софта? На большом парке устройств? Ну, только если вы каждые 3 года меняете оборудование. В противном случае этот кошмар не нужен никому и выбора, сейчас, по сути нет - только ubuntu lts (к сожалению, Centos - R.I.P.)
— Крепление крышки (положили карандаш и попытались закрыть крышку. Когда не получилось — надавили...). Пришлось приколхозить заклёпки.
— Клавиатура (Через 6 лет — после командировки в Питер. Сырость, чтоли...). Вышло из строя половина клавиш. Отключил шлейф. Купил малогабаритную внешнюю клаву — 500р.
— HDD. Не сдох, но был заменен на SSD за 2500р.
— Память — доставил ещё 4Г (aliexpress. Цену точно не помню, но в пределах тысячи вроде бы). Сейчас 8Г. Для работы — вполне достаточно даже для windows 10
— wifi карта. Заменил старую 802.11n на новую 802.11ax — до 800М на 5-ке выдаёт. 1600р вроде бы.
— Аккумулятор ещё работает, как ни странно (8 лет). 1.5 часа держит.
— usb3, конечно… Но мне оно на ноуте нафиг не надо. Слить данные по сети проще.
Итого, апгрейд/ремонт за 8 лет обошёлся около 6 тысяч. Пока совсем не сдохнет — менять не буду.
Так что если брать ноут для работы, а не игрушек — старые модели вполне нормальные. Апгрейд минимален. Просто совсем уж калькуляторы брать не надо.
— NAS — самба для виндовых клиентов, nfs для линуксовых. Графика не нужна.
— торрент качалка — qBittorrent, transmission. Стартуют сервисом. Графика не нужна.
— медиасервер — обалденный выбор приложений, от minidlna до serviio. Графика не нужна.
— подключение к серверу телевизора и просмотр контента напрямую, — единственное, что требует иксов, но опять же, — vlc имеет вэбинтерфейс управления. Заходить на удалённый рабочий стол, чтобы выбрать, что смотреть не нужно вообще.
Ну, а если уж вам так нужен удалённый рабочий стол (не знаю зачем) — настройте vnc или xrdp. Мануалов полно.
Вот с этим согласен. Просто потому, что с виндой люди итак хоть немного знакомы.
Но ведь существует большое количество специализированного софта на базе линукса или фряхи для насов. Правда именно для насов. Смотреть с этого сервера контент напрямую на телевизоре у вас, скорее всего, не выйдет. Только по сети.
Так и хочется вставить картинку с Лавровым…
host www.7-zip.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
www.7-zip.org has address 159.65.89.65
Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете: