Ответы пользователя по тегу Linux
  • Как настроить VPN по такой схеме?

    athacker
    @athacker
    Клиент -- это по определению то, ЧТО подключается. Т. е. является инициатором соединения.

    Нет, то что вы хотите -- не реализуемо. Наоборот -- реализумо. А если вам нужно ходить через канал VPN-клиента -- то это тоже реализуемо, но не так, а ровно наоборот:
    1) На сервер с белым IP устанавливается VPN-сервер. Насчёт "рандомного", правда, сомневаюсь, придётся всё-таки определиться ;-)
    2) На комп с серым IP устанавливается VPN-клиент;
    3) Настраивается подключение от VPN-клиента до VPN-сервера;
    4) После этого, при грамотной настройке маршрутизации, можно организовать выход с VPN-сервера в интернет через интернет-канал клиента. Читать про policy based routing и multiple routing tables в Linux.
    Ответ написан
    1 комментарий
  • Как восстановить логирование ufw?

    athacker
    @athacker
    Так может, ничего не происходит, из того, что должно логироваться? Поэтому и в логах ничего нет.
    Ответ написан
    Комментировать
  • Как разделить resolve различных имен между двумя интерфейсами к разным DNS серверам?

    athacker
    @athacker
    Вам нужно свой DNS-сервер ставить. Который может и внешние имена резолвить, и внутренние. Например, так умеет делать Unbound. По дефолту он резолвит всё через корневые NS, но можно сделать local zone, и прописать там локальные хосты. Тогда по этим именам Unbound будет отдавать то, что прописано в local zone.
    Ответ написан
    Комментировать
  • Разная нагрузка SSD при одинаковом IOPS, почему так?

    athacker
    @athacker
    Например, вот: https://habr.com/ru/company/webzilla/blog/227927/

    Во время теста в blktop наблюдалось что-то странное: часть дисков загружена в потолок, часть почти простаивает. Причём загружены в потолок те, кто показывает низкую производительность, а «быстрые» диски простаивают. Более того, диски иногда меняются местами — то есть раньше загруженный на 100% диск вдруг показывает бОльшую скорость и меньшую загрузку, и наоборот, диск, который был загружен на 50%, вдруг оказывается загружен на 100% и при этом показывает меньшую скорость. Почему?

    И тут до меня дошло.
    Ответ написан
    Комментировать
  • Кластерная ФС (Аналог VMFS, Cluster Share Volume) на Linux?

    athacker
    @athacker
    Ну так и отдайте гипервизорам прямо по iSCSI этот LUN. Они, как правило, сами разбираются. ESXi, Hyper-V, KVM сами понимают, что если iSCSI storage, то они на этом луне не одни, и работают соответственно.

    Либо, если вам нужно ещё и сами файлы виртуалок зачем-то глазками просматривать -- раздайте датастор по NFS.
    Ответ написан
  • Паника ядра, что делать?

    athacker
    @athacker
    Попробуйте сделать fsck для файловой системы, и затем заменить те бинарники, у которых размер 0, на аналогичные из дистрибутива.
    Ответ написан
    6 комментариев
  • Какой протокол и сервер-софт для VPN выбрать?

    athacker
    @athacker
    На винде набор нативно поддерживаемых VPN протоколов невелик. PPTP, L2TP+IPsec, SSTP. Собственно, всё. В андроиде (8-ом, во всяком случае) поддерживаются из коробки протоколы PPTP, L2TP+IPsec, плюс несколько вариантов чистого IPsec.

    PPTP с шифрованием на андроиде у меня не взлетел. Там шифрование реализуется совместным модулем компрессии и шифрования MPPC+MPPE (хотя по структуре протокола это два разных уровня должны быть). В целом оно работает, но на связке mpd5 и андроидом у меня не завелось. Плюс PPTP -- его легко настроить. Минус -- он не считается по современным меркам защищённым протоколом.
    Ответ написан
  • Куда движется профессия системного администратора?

    athacker
    @athacker
    Выбирайте то, к чему душа больше лежит. IT Ops останутся навсегда, какие бы облака там не парили над нами. Всё равно полно организаций, которые не доверяют потусторонним конторам хранение своих данных и обслуживание своей IT-инфраструктуры (и правильно делают). Особенно в свете развития законов и методик оповещения об утечках и т. п.

    IT Ops, на мой взгляд, поинтереснее (сам такой потому что), так как задачи разнообразнее. Но в DevOps, например, денег больше платят. Хотя в IT Ops сейчас тоже много из DevOps наприлетало -- Infrastructure as a Code, ansible/chef/puppet, хранение конфигов/плейбуков в VCS, вот это вот всё. И это действительно приводит к тому, что нужно меньше людей, чтобы управлять существенно бОльшими по размеру инфраструктурами. Но и квалификация этих людей тоже должна быть выше, и программерский бэкграунд какой-то тоже нужен. Потому что даже в IT Ops очень много автоматизации, которую нужно писать руками на Shell, Powershell, Python, смотря где как принято.

    Отдельный денежный сегмент -- это DBA. Oracle, PostgreSQL, MariaDB -- прокачанных DBA мало, и стоят они дорого. С другой стороны, рынок, где требуются DBA -- довольно узок. И чтобы не было проблем с поиском работы -- квалификация должна быть высокой.

    Есть ещё NetOps, т. е. сетевые инженеры. Но там сейчас грустно -- несмотря на то, что для работ в операторских сетях, например, нужна нефиговая такая квалификация и знание особенностей кучи вендорского железа (редко кто строит гомогенные в смысла вендора сетевого железа сети, в основном сборная солянка - -Cisco/Juniper/Mikrotik/Dlink/Huawei), но зарплаты там (по Москве) -- 90-100 тысяч. При этом практикуются ночные/выходные дежурства и всё такое. Можно найти прекрасные места, где сетевой инженер будет зарабатывать бОльшую сумму, но в целом -- как-то так.

    Если резюмировать -- в IT Ops ниже порог вхождения в целом. Т. е. можно найти работу, где не требуется серьёзная квалификация, но и денег будет соответственно.

    DevOps -- порог вхождения выше, т. к. DevOps подразумевает выполнение вполне конкретного набора задач, и для их выполнения уже вряд ли возьмут человека с улицы, надеясь, что он "по ходу разберётся" (а вот в IT Ops или даже NetOps в мелких и средних конторах ещё может прокатывать). Квалификация требуется выше, но и денег больше.

    DBA -- всё ещё сложнее, чем с DevOps. Рынок узкий, квалификация нужна высокая, но зарплаты тоже высоки, повыше DevOps, по моим наблюдениям.

    В чистый NetOps сейчас уходить... Ну такоэ... Есть крупные конторы, где этим можно нормально зарабатывать, но всё равно, квалификация требуется высокая, а денег относительно требуемого объёма знаний платят не так уж много. Вот IT Ops + NetOps -- это да, тут можно найти хорошую работу. Но для этого книжек придётся прочитать в полтора раза больше, чем отдельно IT Ops и в два раза больше -- чем отдельно NetOps :-)
    Ответ написан
    4 комментария
  • Проблема с сетью, что не так?

    athacker
    @athacker
    Всё подключено в один коммутатор?
    В последнее время какие-то новые устройства добавлялись в сеть?
    Что показывает arp -a с сервера после попытки пинга камеры?
    Ответ написан
  • Шифрование гостевых ОС на ESXi 6?

    athacker
    @athacker
    если сам ESXi незашиврован?

    А что такое "сам ESXi зашифрован?" Что конкретно вы в нём собрались шифровать?

    Может ли злоумышленник, получив физический доступ к esxi-серверу, получить доступ к зашифрованной виртуальной системе?

    Смотря в каком состоянии этот сервер будет находиться в момент получения физического доступа. Если в выключенном -- то шансов практически нет что-то с дисков вытащить (предполагется, что ключи шифрования у вас разные на всех машинах, достаточно сложные и не написаны на бумажке, приклеенной к этому серверу). Если во включенном -- кое-какие данные можно вытащить. Сделав, например, снапшот вместе с содержимым оперативки ВМ, и порывшись в этой самой оперативке -- что-то из кэшей и прочих подобных мест в RAM да наловят.
    Ответ написан
    Комментировать
  • Как связать 5 офисов в одну сеть через интернет?

    athacker
    @athacker
    В целом рассуждения верные, но Samba по WAN-каналам -- это не очень хороший вариант. CIFS только с версии SMB 3.0 более или менее стал прилично по WAN-каналам работать. Рассмотрите вариант обмена по SFTP. Оно и секурнее, и SSH уже готовый на всех Unix-like OS есть, его не нужно отдельно поднимать и настраивать, как самбу.
    Ответ написан
    Комментировать
  • Как настроить https proxy на linux?

    athacker
    @athacker
    993 порт -- это зарезервированный порт для IMAPS. Курлу может селинукс не велеть на такие порты подключаться.
    Ответ написан
  • Как пустить весь трафик через ssh на Linux?

    athacker
    @athacker
    Можно вот так: https://vds-admin.ru/unix-toolbox/vpn-over-ssh
    Есть ещё вариант реализации SOCKS-прокси на SSH, он поддерживает, а трафик в этот SOCKS заворачивать чем-нибудь вроде Proxifier
    Ответ написан
    Комментировать
  • Есть ли возможность подключение к Samba из Windows7 не по 137, 138 портам?

    athacker
    @athacker
    Не высовывайте SMB наружу никогда и ни при каких обстоятельствах. Так что провайдер -- "молодец, всё правильно сделал". Нужна именно SMB-шара -- пилите туннель до удалённой площадки и гоняйте SMB-трафик по нему. Нужен просто смонтированный диск -- винда умеет монтировать WebDAV-шары, раздайте своё файло по WebDAV.
    Ответ написан
    3 комментария
  • Как организовать шифрованную сеть без сервера?

    athacker
    @athacker
    В зависимости от степени упоротости. Если степень велика -- стройте VPN-каналы через интернет "каждый-с-каждым".

    Если степень умеренная :-) -- соедините 3 машины между собой VPN-каналами, обозначив их как основные VPN-сервера, а остальные пусть подключаются к двум из трёх этих машин по VPN.

    В любом случае, придётся настраивать динамическую маршрутизацию в этих VPN-сетях, через OSPF или iBGP, как будет удобнее. В итоге после отвала любого канала у вас маршрутизация перестроится, и связность останется. Я бы пошёл по второму пути, он проще масштабируется. В первом случае при добавлении нового узла вам придётся руками обходить все остальные узлы и вносить изменения в конфиги.
    Ответ написан
    Комментировать
  • Как элегантно банить по ip при первой же попытке обращения к системному ресурсу из вне?

    athacker
    @athacker
    Очень даже подходящий инструмент.
    Ответ написан
    Комментировать
  • Какая система лучше всего подходит для х86-роутера?

    athacker
    @athacker
    Для изучения "полностью всех сетевых нюансов" вам нужны специализированные железки с их ОС -- Cisco или Juniper.

    А так -- вы сможете изучить НЕКОТОРОЕ КОЛИЧЕСТВО сетевых настроек ДЛЯ КОНКРЕТНОЙ ОС, не более того.

    Что касается выбора системы, то при необходимости пилить роутер на обычном железе, я бы ставил BSD.
    Ответ написан
    Комментировать
  • Как сделать так, чтобы не процесс не останавливался при отключении терминала (Putty)?

    athacker
    @athacker
    Камрад nexthop 100% прав -- проблема не в терминале, а в кривых руках том, что Thin падает. Курите логи на предмет причин падения.
    Ответ написан
    Комментировать
  • Как сделать парольную систему для доступа к файлам?

    athacker
    @athacker
    В описании фигурирует классический криптоконтейнер. Знаешь пароль -- можешь его смонтировать и получить доступ к файлам. Не знаешь -- гуляешь мимо.
    Ответ написан
    Комментировать
  • Почему не отрабатывает правило блокировки url?

    athacker
    @athacker
    Наверное, потому, что заблочить нужно youtube, а в правиле прописано --string "vkontakte.ru" ? :-)
    Ответ написан
    3 комментария