Задать вопрос
  • Почему в ubuntu 16.04 гаснет экран?

    @Svezhka
    Дело в DPMS (Display Power Management Signaling), который отрубает монитор в целях энергосбережения.
    Проверить его работу можно с помощью xset -q, вывод будет примерно такой:
    DPMS (Energy Star):
    Standby: 0 Suspend: 0 Off: 0
    DPMS is Enabled
    Monitor is On
    Отключить ее можно с помощью:
    xset -dpms;xset s off
    (собственно, отключить dpms и режим энергосбережения экрана)

    *настройки действительны только для текущей сессии, поэтому если энергосбережение не нужно - можно поставить команду в автозагрузку, или же каждый раз вручную выполнять команду в начале работы.
    Ответ написан
    1 комментарий
  • Как на Mikrotik правильно настроить VLAN (6.41+)?

    @goyan Автор вопроса
    В итоге все оказалось элементарно - в tagged порты каждого vlan кроме первого необходимо добавлять bridge.

    Пример из моей конфигурации:
    add bridge=bridge1 tagged=ether2,ether3,ether4,ether5,ether6,ether7,ether8,bridge1 untagged=ether9 vlan-ids=101
    add bridge=bridge1 tagged=ether2,ether3,ether4,ether5,ether6,ether7,ether8,bridge1 vlan-ids=102

    Почему так, и где это в документации Mikrotik, я не нашел. Но это не значит, что этого там нет, и я буду очень благодарен, если кто укажет, почему это так и где задокументировано.
    Ответ написан
    1 комментарий
  • Какие посоветуете трекеры времени своей работы?

    zamboga
    @zamboga
    Аналитика данных, BI-аналитика, дашборды
    задача — считать, сколько времени я провожу за работой

    • ManicTime - мощный стэндалон тайм-трекер. Очень гибкий в настройках, сидит в трее, есть хоткеи, разные типы таймеров. Платный.
    • RescueTime - только в автоматическом режиме логирует, в каких приложениях/сайтах проводите время, и выводит подробную статистику. Бесплатного аккаунта хвататет за глаза.
    • Toggl — отдельный софт в трее, расширение под хром, приложение на андроид. Интеграция с кучей сервисов (трело, асана и т.д.). Хоткеи тоже есть. Бесплатного тарифа вполне достаточно.
    • TimeDoctor — платный. Есть отдельный софт в трее, хоткеи. Интеграция с кучей сервисов.
    • Pomello — простой помидоро-трекер, интеграция с трелло. Хоткеи есть, в трее не сидит, простенький бар поверх всех окон
    • PomoDoneApp — простой помидоро-трекер, интеграция с трелло. Хоткеи есть, в трее показывает таймер с обратным отсчетом времени.
    • tmetric.com — простой трекер, интеграция с трелло, есть десктопное приложение, помидорок нет. Хоткеи есть, сидит в трее
    • Вот еще статья на хабре от 2015 г. https://habrahabr.ru/company/xakep/blog/254119/

    доп инфа тут: Чем удобнее всего учитавать время работы над конкретной задачей?

    Я использую связку Trello+Toggl+Pomello
    Ответ написан
    5 комментариев
  • Как работают маски /32 (255.255.255.255)?

    Mystray
    @Mystray
    NOC
    Ответ в общем случае - PPP.
    В чем суть маски и шлюза по умолчанию для обычного хоста? Определить, является ли адрес назначения в локальной сети (то есть сетевая часть получателя и отправителя совпадает) и, если получатель таки "не здесь", то отправить трафик "шлюзу по умолчанию", а он уже пусть разберется.
    В случае же PPP-соединения, которое есть "труба", в принципе нет "локальной сети", есть только некий удаленный хост, при чем только один, который находится на том конце трубы.
    С той стороны точно так же роутеру известно, что на противоположном конце конкретной трубы находится конкретный хост, и только один, потому ему тоже не надо заморачиваться с масками, то есть у нас отсутствует локалка.
    Так что получается х.х.х.х/32 ===PPP-соединение===y.y.y.y/32, оба хоста знают, кто находится на противоположном конце соединения, все счастливы, айпи-адреса можно раздавать независимо от того, в каком сегменте находится абонент, и не надо тратить лишние айпишники на "адрес сети", "адрес шлюза" и "широковещательный адрес".
    При этом марщрут по умолчанию тоже может бють не "на хост", а "в трубу", а уже с той стороны разберутся.
    Ответ написан
    Комментировать
  • Выбор платформы виртуализации?

    athacker
    @athacker
    Кластер из двух серверов не получится. Нужно минимум три -- один из серверов будет общим хранилищем для двух остальных. Это независимо от платформы виртуализации.

    Что касается лицензий -- у VMware есть пакеты типа vSphere Essential, они стоят не так дорого, как если брать просто vSphere. Essential Plus покрывает три сервера и один vCenter, стоит около 250-300 тысяч рублей.

    Но один сервер под общим хранилищем -- этого мало, так как он становится единой точка отказа (сдохнет -- и полягут ВСЕ виртуалки). Поэтому самым правильным вариантом решения будет конвергентная инфраструктура -- когда сервера виртуализации также презентуют свои локальные диски в какой-то из вариантов software defined storage. Среди вариантов: Ceph (бесплатный, но капризен, и для поддержки нужны нефиговые такие скиллы), VMware vSAN (стоит нефигово) или ScaleIO (тоже стоит порядком, но до 12 Тб сырого места можно юзать совсем бесплатно. В варианте из трёх узлов в кластере ScaleIO 12 Тб сырого места -- это 4 Тб полезного места. При росте числа узлов оверхед будет снижаться. Например, 12 Тб сырого места на 5 серверах уже обеспечит 5 Тб полезного места).

    Так что всё зависит от бюджета. Тут всё как везде -- баланс между стоимостью и лёгкостью развёртывания/эксплуатации. Вложите больше денег -- получите решение, которое проще развернуть, проще эксплуатировать и есть саппорт. Вложите меньше -- надо будет юзать опенсорс, больше времени заложить на пилот, и зачастую самому разбираться с прибабахами, строча сообщения на форумах и гугля с космической скоростью :-)

    Ну и, собственно, игроков на рынке виртуализации не так уж чтобы до фига. Microsoft Hyper-V, VMware ESXi, KVM. Proxmox -- это не вполне система виртуализации, это оркестратор для управления виртуальной инфраструктурой. Непосредственно виртуализацией занимается всё равно KVM (или LXC, но это вам не нужно).
    Ответ написан
    1 комментарий
  • Как посмотреть сколько дефолтных и статических маршутов через консоль Mikrotik?

    @Strabbo
    ip route print where static <<----- статические маршруты
    ip route print where dst-address =0.0.0.0/0 <<-------- дефолт
    Ответ написан
    Комментировать
  • Как пробросить порт для сайта внутри сети на Mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Hairpin NAT. И используйте dst-nat, и не netmap
    Ответ написан
    Комментировать
  • Зачем запускать сервисы в контейнере от имени непривилегированного пользователя?

    начнем с того, что изначально не советуется запускать что-либо под рутом. если нужно запустить - используем судо дабы все логировалось и контроллировалось. просто примите это на веру т.к. этот постулат выплакан кровавыми слезами не одной тысячи сисадминов

    далее, не просто так для каждого сервиса выделяется пользователь, которые имеет права делать только то, что ему нужно и не более. если Вы хотите чтобы Ваш сервис был переносим из контейнера вне контейнер и наоборот, то нужно позаботиться о том, что в контейнере он себя чувствовал и вел точно так же, как и на любом другом линуксе. окружение для сервиса должно быть прозрачным и легко заменяемым. если Вы захотите переселить этот сервис из контейнера в на хост-машину и внутри контейнера Вы не заботились о его правах (запустили под рутом и все), то при запуске на хосте у Вас могут возникнуть проблемы т.к. Ваш сервис может все и, скорее всего, придется перепиливать сервис для того, чтобы он мог работать так, как нужно вне контейнера

    у меня сложилось впечатление, что контейнеризация сервисов для Вас является серебряной пулей безопасности. к примеру, есть хостинг и на нем есть дырявые сайты, которые чуть ли не каждый день хакают и через них сливают данные с других сайтов т.к. не проставлен open_basedir и все работает под апачем без разделения через SuID или без mpm-itk. и тут Вы познакомились з контейнеризацией и теперь запустили каждый сайт в своем личном окружении и все чики-пики с безопасностью. пример надуманый мною и не факт, что оно так у Вас на самом деле, но суть не в том

    нужно делать правильно. не так, как удобно и проще, а просто правильно. мы селим сервис в контейнер не только для того, чтобы изолировать его от всего и вся, как в клетку, а для того, чтобы создать для него соответствующее окружение с настройками и софтом нужной версии, который ему нужен, для того чтобы можно было запустить еще один экземпляр этого сервиса если это нужно и позволяет конфигурация, для того, чтобы следить за работой каждого сервиса отдельно и так далее

    вот с чем я сталкивался лично и что мне просто не давало жить. представим, что Вы создали сервис, который дополнительно еще генерирует какие-то файлы. файлы хранится в некоторой папочке в `/foo/bar/beez_service`, но Вы в эту папку монтируете другую папку хост-машины. Ваш сервис запущен от рута. Ваш сервис пишет лог и все эти файлы генерируются с правами рута и с неким chmod-ом, который был указана через umask или еще как-то. обычно над этим не заморачиваются и файлы имеют chmod 0664 - обычным пользователем удалить его невозможно. это как минимум неудобно. я понимаю, Вы можете ответить, что монтировать папки не всегда нужно, что можно использовать `sudo` на хост-машине, что не особо нужно удалять файлы через хост-машину и так далее
    Ответ написан
    Комментировать
  • Настройка Firewall на домашнем MikroTik-е?

    vasilevkirill
    @vasilevkirill
    Сертифицированный тренер MikroTik TR0417
    как обычно жесть в ответах, а теперь по существу, а именно по вашему конфигу
    add action=fasttrack-connection chain=forward connection-state=established,related
    add chain=forward connection-state=established,related

    Если не уверенны, то лучше цепочку forward в фильтре не трогать, темболее что у вас скорее всего forward это только трафик попадающий под NAT
    Отключите эти правила
    add chain=input connection-state=established,related in-interface=ether1-gateway

    Здесь всё правильно, весь трафик который будет попадать под следующие правила будет connection-state=new
    Оставляем как есть

    add action=reject chain=input connection-state=new in-interface=ether1-gateway

    Указывая reject вы злоумышленнику даёте явно понять, что порты закрыты, reject лучше всего делать на внутреннюю сеть или в сторону партнёров, но точно не для трафика в сторону интернета!
    Замените на drop
    Читай пояснения для вышестоящего правила, убери connection-state=new, так на данном месте фаервола только и будет new
    add action=drop chain=input connection-state=invalid in-interface=ether1-gateway

    Данное правило, должно быть самым первым так как, это невалидный трафик, смысл напрягаться фильтру, если мы заранее знаем что этот трафик не нужен.
    Переместить правило на самый верх
    При таком настроенном фильтре, микротик находится в самом защищённом режиме.
    если вам необходимо открыть порт для доступа к микротику, то вы создаёте правило над последним правилом.
    Если вы будете открывать ssh к микротику, то прочитайте эту статью wiki.mikrotik.com/wiki/Bruteforce_login_prevention

    Всё остальное, такие как /ip service - это всё от лукавого, в любой момент времени может получится так что вам потребуется доступ к по ssh из самого не предсказуемого места.
    если уж хотите вообще не открывать всем порты, то читаем про port Knocking тут wiki.mikrotik.com/wiki/Port_Knocking
    Ответ написан
    8 комментариев
  • Как подключить удаленный офис через VPN?

    nops
    @nops
    Системный инженер.
    эту проблему сможет решить два микротика с обеих сторон.
    Ответ написан
    Комментировать
  • Бесплатный курс MikroTik?

    vasilevkirill
    @vasilevkirill
    Сертифицированный тренер MikroTik TR0417
    У меня есть мысль адаптировать курс MTCNA под самостоятельное обучение и на бесплатной основе, только есть вопросы в какой манере его подать и какие темы затронуть. или вообще сделать в виде видео
    Ответ написан
    4 комментария
  • Что стоит почитать для администрирования VPS на 5 - 10 сайтов?

    Adamos
    @Adamos
    Понемногу накапливается мануал на Debian.pro - то, что уже есть, написано очень живо и по делу.
    Ответ написан
    Комментировать
  • Как получить статус APC UPS через USB шнур?

    @MgmZog
    NUT - www.networkupstools.org
    Apcupsd - www.apcupsd.org

    Оба есть под винду, статус можно получить через консольную утилиту и его распарсить.
    Едиственное но - у совсем новых APC другой закрытый протокол, они не поддерживаются.
    У NUT для вашего упса драйвер называется usbhid-ups.
    Ответ написан
    Комментировать
  • Как настроить CAPsMAN на устройстве Mikrotik RB2011UiAS-RM и двух Mikrotik RB cAP2n?

    @bukass
    У тебя, скорее всего, разные пакеты wireles. Ну и обновить до последней версии ОС не мешало бы.
    Ответ написан
    6 комментариев