Задать вопрос
  • Какой лучший способ хранения данных аутентификации?

    @Hardoman
    DevOps
    ПО такого полно.
    Инфраструктурным стандартом является Hashicorp Vault

    В РФ распространен Passwork

    Важно! Их не нужно использовать для передачи секретов за пределы контура компании.
    Для таких целей можно использовать сервисы разового доступа к секретам, например Bitwarden Send или Password Pusher
    Ответ написан
    Комментировать
  • Как подключить отладчик к программе на Python в Docker-контейнере?

    @Hardoman
    DevOps
    Если вы можете подключиться к порту 5678, то проблема не в докере. Вероятно, ваш сервис слушает только на 127.0.0.1 внутри контейнера, а не на 0.0.0.0
    Также может быть проблема в файрволе
    Пробуйте следующие тесты:
    - curl -v 127.0.0.1:5678
    - curl -v host_ip:5678
    Ответ написан
    Комментировать
  • Почему роутер не выдает скорость?

    @Hardoman
    DevOps
    Если WAN порт не может согласовать с портом вышестоящего свитча 1000М, то на это могут быть только физические причины:
    - качество кабеля и его категория
    - его длина (необходимо, чтобы мастер проверил тестером длину кабеля по каждой из жил, длина должна совпадать и желательно не превышать 90 м). Если длина по разным жилам разная - это говорит об обрыве или частичном повреждении на том расстоянии, которое выдает тестер.
    - влияние силовых кабелей: нельзя, чтобы витая пара шла параллельно силовому кабелю. При воздействии эл-магнитного поля силового кабеля в витой паре индуцируется поле, в результате чего порты снижают частоту с 1ГГц до 100 МГц для стабильности. Это происходит автоматически, если количество ошибок доставки пакетов возрастает.
    - битый порт на свитче провайдера. Иногда переключение на другой порт помогает.
    Ответ написан
    Комментировать
  • Почему не получается войти на сервер?

    @Hardoman
    DevOps
    Скорее всего, доступ по паролю для root запрещен (а это дефолтная конфигурация sshd).
    Если вы не добавляли ключ, то подключитесь к серверу через консоль хостера по протоколу VNC и поменяйте конфиг временно
    /etc/ssh/sshd_config
    PermitRootLogin yes
    PasswordAuthentication yes


    Также удалите все дополнительные файлы в папке /etc/ssh/sshd_config.d/ (их часто добавляют хостеры при бутстрапе ноды)
    Рестартаните сервис, добавьте ключ, проверьте, что вы с ним можете войти и замените обратно на

    PermitRootLogin no
    Ответ написан
    Комментировать
  • Какие хостеры в РФ позволяют иметь безлимитный канал на 40-50 Гбит к своим серверам?

    @Hardoman
    DevOps
    Это технически невозможно, скорость ограничивается точками обмена трафика MSK-IX, куда почти все дата-центры подключены.
    Ответ написан
  • Можно ли настроить samba серверы на клиентских компах (расшарить папку, чтобы можно было заходить из других клиентов в локалке) в домене FREEIPA?

    @Hardoman
    DevOps
    Вообще то, что вы хотите, противоречит логике фпцловх серверов и Samba. На фпцловх серверах делается или одна общая папка на всех или папка для каждого пользователя.
    Папки на клиентских хостах не надо расшаривать. Это не безопасно и не соответствует идеологии централизованного управления.

    Чтобы организовать общую сетевую папку Samba, доступную всем пользователям домена FreeIPA, выполните следующие шаги:

    ### 1. Установка и настройка Samba
    ```bash
    sudo dnf install -y samba samba-client samba-common
    ```

    ### 2. Интеграция Samba с FreeIPA
    ```bash
    sudo ipa-adtrust-install --add-sids
    ```

    ### 3. Создание общей папки
    ```bash
    sudo mkdir -p /srv/shared
    sudo chmod 2770 /srv/shared
    sudo chown root:"DOMAIN\users" /srv/shared
    ```
    Замените `DOMAIN` на имя вашего домена.

    ### 4. Настройка Samba (`/etc/samba/smb.conf`)
    ```ini
    [global]
    workgroup = DOMAIN
    security = ads
    realm = DOMAIN.EXAMPLE.COM
    idmap config * : backend = tdb
    idmap config * : range = 10000-999999
    idmap config DOMAIN : backend = sss
    idmap config DOMAIN : range = 10000-999999
    winbind use default domain = yes
    template shell = /bin/bash
    template homedir = /home/%U

    [shared]
    path = /srv/shared
    read only = no
    writable = yes
    browseable = yes
    valid users = @"DOMAIN\users"
    force group = "DOMAIN\users"
    create mask = 0660
    directory mask = 2770
    ```

    ### 5. Перезапуск служб
    ```bash
    sudo systemctl restart smb nmb
    sudo systemctl enable smb nmb
    ```

    ### 6. Настройка доступа через SELinux (если используется)
    ```bash
    sudo semanage fcontext -a -t samba_share_t "/srv/shared(/.*)?"
    sudo restorecon -Rv /srv/shared
    ```

    ### 7. Проверка доступа
    С любого клиента в домене попробуйте подключиться:
    ```bash
    smbclient //server-name/shared -U user-name
    ```

    ### Дополнительные настройки (по желанию):
    - Для автоматического монтирования добавьте запись в `/etc/fstab`:
    ```
    //server-name/shared /mnt/shared cifs credentials=/etc/samba/credentials,uid=%u,gid=%g,dir_mode=0770,file_mode=0660 0 0
    ```

    Где `/etc/samba/credentials` содержит:
    ```
    username=user
    password=pass
    domain=DOMAIN
    ```

    Важно: Все пользователи должны быть членами группы "users" в FreeIPA. Проверить можно командой:
    ```bash
    ipa group-show users
    ```

    Если вам нужно, чтобы **каждый Linux-клиент в домене FreeIPA** имел свою расшаренную папку, доступную другим пользователям домена, но **без установки Samba на каждом клиенте**, альтернативой может быть использование **SSHFS + Autofs + Kerberos** или **NFSv4 + Kerberos**.

    Но если вам нужен именно **SMB-доступ** (например, для Windows-клиентов), то без установки Samba на каждом хосте не обойтись.
    Ответ написан
    Комментировать
  • Почему на некоторых сайтах видно местоположение РФ, хотя vps Нидерланды и как это исправить?

    @Hardoman
    DevOps
    Во-первых, баз GEOIP много и все они различаются.
    В разных базах один и тот же IP может быть указан в разных странах.

    Во-вторых, блоки IP наши провайдеры берут у ДЦ, где арендуют стойки. И эти блоки адресов переходят их рук в руки и их принадлежность меняется, но это отражается не во всех базах.

    Про смену хостера не из РФ - это вообще не обязательно. Десятки наших хостеров, у кого сервера арендованы заграницей определяются корректно. Как я сказал, важно, как были арендованы или вукуплены адреса.
    Ответ написан
    Комментировать
  • Зависает загрузка пакетов Kali Linux при apt update. Как исправить?

    @Hardoman
    DevOps
    Выберите ближний до вас репозиторий и добавьте, отключив основной https://http.kali.org/README?mirrorlist

    А скорость медленная связана с тем, что основное зеркало за cloudflare, который блокируется в РФ

    Можно взять https://mirror.truenetwork.ru/kali/
    например
    Ответ написан
    1 комментарий
  • Возможно ли использовать на одном сервере RRAS и Wireguard?

    @Hardoman
    DevOps
    Настройка Wireguard не делается через RRAS - доступ к сеть определяется через AllowedIPs на сервере. По умолчанию он равен IP адресу сервера с маской /32. Соответственно, можно ходить только в этот хост, и он должен роутить трафик.
    Чтобы разрешить доступ куда-то еще - поменяйте AllowedIPs или напишите статические маршруты для этот сетевого интерфейса.
    Ответ написан
  • Как перенести настройки графики на новый ПК?

    @Hardoman
    DevOps
    Настройки рабочего стола хранятся в профиле пользователя (иконки, стили. шрифты и т.д.).
    Необходимо сделать профиль роуминговым, чтобы он подтягивался по сети.

    Не совсем понял про пик1 (его нет на ваших скриншотах) - если это просто текст на рабочем столе, то это настройка никакого отношения к RDP не имеет.
    Это текст выводится сторонними программами в оверлее. Программы типа Rainmeter и BGInfo
    Ответ написан
    Комментировать
  • Как закрыть метрики за OIDC или SAML?

    @Hardoman
    DevOps
    Nginx имеет бесплатный модуль ngx_http_oidc_module

    Также можно прикрутить 2fa к nginx - например, проект Authelia

    Traefik не для этого всё-таки придуман.
    Ответ написан
  • Какой способ подключения к VPS лучше?

    @Hardoman
    DevOps
    Wireguard обеспечивает максимальную скорость и пинг, может без проблем 80% от доступного канала выдавать.
    Но, вопрос в том, что его блокируют на ТСПУ, и вам надо будет в РКН подавать заявку на whitelist

    Прокси - самый плохой и не гарантированный с точки зрения доставки вариант.
    Ответ написан
  • Windows Server стал пропадать интернет на предприятии при подключении по RDP к хосту что это может быть?

    @Hardoman
    DevOps
    Видимо, при подключении rdp клиента, меняется таблица маршрутов, и вероятно, дефолтный гейтвей.

    Сравнивайте маршруты до и после подключения, а также гейтвей и dns. Сделайте трассировку на клиентах, когда отвалился инет, куда идёт их трафик. Вероятно, как раз через этот сервер, который в свою очередь, не может выйти в инет, так как у него поменялся дефолтный гейт или тп
    Ответ написан
    1 комментарий
  • Что определяет выбор адреса сайта из всех, возвращённых DNS-сервером?

    @Hardoman
    DevOps
    Во-первых, клиенты кэшируют у себя dns ответы на срок жизни TTL записи и обращаются к последнему использованному до бесконечности, если эта запись ещё актуальна.
    Во-вторых, при первом обращении выбирается первая доступная запись.
    Клиент по очереди в списке опрашивает их и возьмёт первую рабочую.
    В этой ситуации уже задача DNS сервера каждый раз возвращать список в разном порядке. Он это может делать по разным алгоритмам, чаще всего по round-robin, иногда по меньшему пингу или первому ответившему.
    Ответ написан
    Комментировать
  • Как соединить 2 ip Qnap и dc?

    @Hardoman
    DevOps
    Не понятно, что значит доменка стала на. 27, да и вообще ваша терминология не понятна.
    У всех устройств, и доменного контроллера, если это его вы подразумеваете под DC, должен быть статический IP, зарегистрированный в вашем локальном DNS
    Это же DNS должен использовать qnap.

    Ваши vpn клиенты, подключившись к вашей сети также должны использовать ваш DNS, чтобы знать, какой ip у кого в вашей сети.
    DNS обычно объединяют с доменным контроллером, а в микротике его указывают.
    Также в микротике необходимо настроить редикерт вашей DNS зоны на ваш DNS сервер в сети, чтобы микротик мог правильно резолвить внутренние хосты в сети.
    Ответ написан
    3 комментария
  • Почему на RDP большой отклик?

    @Hardoman
    DevOps
    Очень часто такое встречаю, тк работаю с провайдерами. Связано с ассиметричными маршрутами до vpn сервера вашего у провайдера и обратно, в результате чего пакеты не укладываются в ttl.
    Как протестировать?
    Собираете трейс и задержки при подключении до вашего vpn сервера напрямую.
    Затем или раздаете мобильный интернет или используете другой и собираете то же самое.
    Третий тест - заворачиваете трафик до вашего vpn хоста в ещё один vpn туннель. И тестируете.

    Любой нормальный провайдер после этого может поменять маршруты у себя.

    И да, udp точно отключать не надо, не слушайте бред.
    Ответ написан
  • Почему тг бот запущенный в контейнере podman самостоятельно завершается получая SIGTERM?

    @Hardoman
    DevOps
    Чтобы ответить точнее на вопрос, необходимо видеть полный лог трейсбека после сообщения остановки процесса

    Polling stopped
    Traceback (most recent call last):
    ...

    Обычно, поллинг перестаёт работать из-за сетевых проблем.
    Известны проблемы с ipv6 совместимостью.

    Bot API has well-known issues with accessing via IPv6, so, it is recommended to disable it and prefer to use IPv4 with bots.
    Ответ написан
  • Как корректно настроить GPO для Яндекс.Браузера?

    @Hardoman
    DevOps
    1. Добавить URL сайта в доверенные через политику
    Также можно настроить доверенные расширения
    https://yandex.ru/support/browser-corporate/ru/pol...
    Или настроить общие настройки установки расширений
    https://yandex.ru/support/browser-corporate/ru/pol...

    2. Сконфигурировать AlwaysOpenPdfExternally
    https://yandex.ru/support/browser-corporate/ru/pol...

    Как развертывать https://yandex.ru/support/browser-corporate/ru/dep...
    Ответ написан
  • Как получить инфу по всем учеткам на сервере Ubuntu?

    @Hardoman
    DevOps
    Откорректирую ответ @ky0
    Если пользователи уже входят по ключу ssh, то у них точно есть профиль в /home, потому что там лежат authorized_keys
    Ответ написан
  • Где можно найти VDS для VPN с провайдерским ip?

    @Hardoman
    DevOps
    Ответы выше неверные. Он определяет наличие vpn не по IP, а по списку активных интерфейсов на вашем устройстве. Используйте прокси вместо vpn
    Ответ написан