Задать вопрос
  • Как настроить squid.conf так, чтобы белый список работал с http и https одновременно?

    @as_lan
    Прям почтальон Печкин. У меня есть решение. Но я вам не скажу.. Только в ru сегменте встречаю "разобрался, вопрос закрыт." без описания самого решения. Вариант с "ssl_bump terminate !whitelist" не работает, пока активен "http_access deny !whitelist"
    Ответ написан
    1 комментарий
  • Zabbix: External check. Как в Zabbix передать массив со значениями из скрипта?

    @neol
    Как вариант - в скрипте дёргать zabbix_sender, который уже будет заталкивать в сервер пачку значений (ему можно передать файлик со списком).
    Ответ написан
    1 комментарий
  • С помощью какой системы можно организовать разворачивание проекта с определенными параметрами на одной машине?

    В качестве исполнителя:
    Ansible + Ansible Tower
    Jenkins так же вполне подходит к задаче, но его придётся готовить

    А разворачивать можно где вздумается - vagrant, kubernetes, proxmox, да хоть docker compose.
    Ответ написан
    1 комментарий
  • Как настроить nginx proxy_pass для https в зависимости от домена?

    @arckgate Автор вопроса
    DevOps
    Сделал вот так:
    server {
    server_name emample1.com.ua;
    location / {
    proxy_pass 192.168.0.11/;
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
    }

    server {

    listen 443;
    server_name example2.com.ua;

    ssl_certificate /etc/nginx/cert.crt;
    ssl_certificate_key /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache builtin:1000 shared:SSL:10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log /var/log/nginx/example2.access.log;

    location / {

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;

    proxy_pass https://192.168.0.67:443;
    }
    }
    Ответ написан
    Комментировать
  • Перенос системы с помощью dd, как правильно?

    @bukass
    dd - буквально d-иск d-амп - dd пофигу даже какая там файловая система. Копируется образ диска.
    dd прикольно делать так
    backup dd if=/dev/sda1 | gzip - | dd of=/path_to_backups/fs.img.gz
    а потом восстановить так dd if=fs.img.gz | gunzip - | dd of=/dev/sda1
    Ответ написан
    Комментировать
  • Брутфорс SSH, что делать?

    mrsexy
    @mrsexy
    Senior Pomidor
    Запретить всем, кроме IP-адреса 1.2.3.4 подключение по протоколу TCP на порт 22
    iptables -A INPUT -i eth1 -p tcp -s !1.2.3.4 --dport 22 -j DROP


    P.S - eth1 - это адрес вашей сетевой карты, он может не совпадать с вашим.
    Ответ написан
    7 комментариев
  • Как поднять несколько сайтов на одном сервере?

    DevMan
    @DevMan
    Несколько сайтов на одном IP, которые резолвятся по serverName - это нормальный подход?
    a как по вашему работают шаред–хостинги, у которых на одном ипе несколько сотен доменов/сайтов?

    докер нужен там, где он нужен и когда он нужен. а не словили хайп, снесло кукушку, тулим его на каждый чих–пых.

    по вашему описанию, вам даже впс не нужен – достаточно просто перенеси все сайты на один акаунт у одного хостера.
    а для потренироваться отлично подходит локалхост или персональный впс.
    Ответ написан
    2 комментария
  • Как в nginx перенаправить https запрос на другой сервер (proxy_pass)?

    Black_beard_ast
    @Black_beard_ast
    Sysadmin/Ops engineer.
    Можете поставить Haproxy, он умеет mode tcp.
    Ответ написан
    Комментировать
  • Как в nginx перенаправить https запрос на другой сервер (proxy_pass)?

    greyhard
    @greyhard
    Программист, автолюбитель
    Конечно не будет работать, вам надо получить для своего nginx сертифкат, даже бесплатный от Letsencrypt
    Сейчас у вас получается атака "Men in the middle" вы не можете проксировать запросы так как nginx выполняет роль конечно точки SSL
    Так как вы хотите будет работать только для проксирования по TCP протоколу либо попробуйте HAProxy для балансировки
    https://community.ptc.com/t5/IoT-Tech-Tips/HAProxy...
    Ответ написан
    5 комментариев
  • Почему запросы идут не к провайдеру?

    Jump
    @Jump
    Системный администратор со стажем.
    если мой запрос сначала идёт к провайдеру, ведь это так работает?
    Ваш запрос идет не к провайдеру, а по инфраструктуре провайдера.
    Т.е провайдер обеспечивает вам услуги по доставке вашего запроса.

    Я не пойму, какая анонимность может быть
    А с чего вы вообще взяли что анонимность должна быть??? Вы зарегистрировали подключение к сети, предъявив паспорт, ваш адрес известен. Эта услуга явно не предполагает анонимности.

    И если данные можно зашифровать, то домен, к которому обращаюсь, ведь не зашифруешь.
    Да без проблем, кто ж мешает зашифровать домен. Просто тогда провайдер не будет знать куда отправлять ваш запрос.

    Получается, я делаю запрос к провайдеру, мол вот прокси, сделай через него запрос
    Нет. вы просто указываете адрес прокси, а ваш провайдер пересылает данные по указанному адресу как всегда.

    Определенной анонимности можно достичь но это дорого и сложно.
    Взять тот же TOR - там шифруется все от тела пакета до заголовка - в итоге провайдеру неизвестен либо отправитель, либо о получатель, либо то и другое.
    Ответ написан
    Комментировать
  • Чеклист по безопасности сайта? Что еще посоветуете?

    Jump
    @Jump
    Системный администратор со стажем.
    Перед релизом хочется быть полностью готовым ко всему
    Быть готовым ко всему невозможно даже теоретически!
    Вы поставили заведомо невыполнимую цель

    Стандартный чеклист по проверке основных типов угроз.
    Если есть какие-то очень критичные места именно в вашем проекте - дополнительно их проверьте.
    А что касается остального -
    Безопасность это процесс!
    Невозможно взять и сделать сайт безопасным.
    Можно следить за безопасностью сайта и своевременно устранять наиболее критичные угрозы.
    Ответ написан
    21 комментарий
  • Centos 6/7 настройка bind (split) на работу 2 стороны, кто делал?

    chupasaurus
    @chupasaurus
    Сею рефлекторное, злое, временное
    Честно сжижжено отсюда.
    В верх или после объявления slave-ов в /etc/named.conf:
    acl internals {
        127.0.0.0/8;
        10.0.0.0/24;
    };

    Создаем в /etc/named/ директории internals/ и externals/, где будем хранить файлы зон для внутренних и внешних клиентов соответственно.
    В конфиг вместо обычного объявления зоны:
    view "internal" {
        match-clients { internals; };
        zone "example.com" {
            type master;
            file "/etc/named/internals/db.example.com";
        };
    };
    view "external" {
        match-clients { any; };
        zone "example.com" {
            type master;
            file "/etc/named/externals/db.example.com";
            allow-transfer { slaves; };
        };
    };

    Slave-ы не указаны во внутренней вьюхе, чтобы данные не утекали в них.
    Ответ написан
    1 комментарий
  • Почему Apache2 отдает Forbidden 403?

    @ehabrahabr
    Require all granted

    <VirtualHost *:80>
    	ServerName   site
    
    	...
    
    	<Directory /home/www/site/www>
    		Options Indexes FollowSymLinks MultiViews
    		AllowOverride None
    		Order allow,deny
    		allow from all
    
    		Require all granted
    
    	</Directory>
    
    	...
    
    </VirtualHost>
    Ответ написан
    Комментировать
  • Настройка bind и zone, почему не работает?

    listen-on port 53 { 127.0.0.1; 10.2.0.9; };
    вы слушаете только на внутреннем IP, поэтому DNS-сервер не доступен снаружи.
    Ответ написан
  • Как выпустить в инет IP камеры через 2 Wi-Fi роутера и обеспечить всех единым адресным пространством?

    Axel_L
    @Axel_L
    помощник сисадмина
    1. Получить возможность смотреть камеры через инет, с защитой от посторонних глаз

    На первом роутере поднят L2TP сервер, коннект по VPN и просмотр камер. Есть вариант лучше или и так идеален?
    Тут всё работает, мучает незавершенность решения.

    решение завершено, не обязательно выпускать камеры в интернет напрямую.

    3. Локалка должна быть общей - главный R1, второй только инет от R1 раздаёт и порты предоставляет, без маршрутизации как таковой.

    если вы видите с маршрутизатора R1 Ваши IP-камеры, значит у вас все работает по уровню L2 и клиенты на портах будут отправлять пакеты на маршрутизатор, Вам остается: убрать маршруты на R2, настроить Wi-Fi:
    1. Сделать репитер (это будет работать в том случае, если он видет Wi-Fi от R1)
    2. В случае если зона покрытия Wi-Fi-R1 не затрагивает второе здание, тогда поднимайте Wi-Fi на R2 с таким же SSID, поднимите DHCP для Wi-Fi но в качестве шлюза по-умолчанию указывайте адрес R1. (Либо для попробовать для интерфейса Wi-Fi указать адрес DHCP-сервера R1/того, где развернут DHCP)
    рекомендации в указанных пунктах надо проверить, умеет ли это делать микротик

    Со вторым роутером проблема - как переписать конфиги, чтобы он все порты задействовал как свитч, при этом пускал в Wi-Fi инет без всякого NAT.

    Натить у Вас должен R1, я могу ошибаться, но если вы соединили R1 и R2 проводом, то Вам останется только настроить в один VLAN/Bridge порты и у вас будет связь по L2. Самое банальное - это проверка ping любой камеры с R1 (как уже писал выше), если камера доступна

    п.с. если где-то допустил неточность/неверность мышления, знающие люди поправьте, опыта не очень много
    Ответ написан
    2 комментария
  • DELL PERC H310 и ESXi 6.0.0 3029758 - как мониторить RAID?

    @azarij
    В меру опытный никто
    наверно тут www.dell.com/support/home/ie/en/iebsdt1/Drivers/Dr...
    это OpenManage Server Administrator (OMSA). оно ставится на сервер и может либо через свой вебгуи либо через OpenManage Essentials (OME) выдавать всю инфу по серверу, включая диски и РАИД контроллеры.
    я бы попробовал не тестовом ESX сервере для начала.
    Ответ написан
    2 комментария
  • Как корректно выключить виртуальные машины на ESXi 5 скриптом?

    gr1mm3r
    @gr1mm3r
    50% ответа в правильном вопросе. Остальное мануал.
    vicfg-hostops.pl --server ip_address --username root --password password --operation shutdown

    Более подробно по командам консоли
    Ответ написан
    Комментировать
  • Почему VPN (pptpd) работает при подключении с декстопа, но не работает при подключении с mikrotik?

    HawK3D
    @HawK3D
    Судя по симптомам, это Path MTU Discovery Black Hole.
    В Windows для VPN-подключений MTU по-умолчанию равен 1400, поэтому проблем с этим не возникает. В Router OS эта проблема решается достаточно легко:
    1. Опытным путем меняя значение Max MTU в свойствах соответствующего подключения, нужно установить значение этого параметра при котором проблема исчезнет. Этот способ самый простой, однако не самый оптимальный и работает не во всех случаях.
    b31f241c2b4b4df1a43e7014f45e41c2.jpg 2. В профиле PPP, который указан для вашего подключения выберите "yes" для параметра Change TCP MSS.
    6df505a6114d4c3e9468faa29bbe3a16.jpg
    При этом создаются динамические правила в цепочке mangle фаервола, устанавливающие значения tcp-mss в syn-пакетах равным 1410, если оно больше. Сталкивался с ситуациями, когда 1410 оказывалось недостаточно. Можно скопировать эти динамические правила в mangle и изменяя параметры на меньшие, чем 1410 добиться решения проблемы. Чтобы Router OS не создавала эти динамические правила нужно в используемом профиле отключить "Change TCP MSS".
    3. Способ, который работает во всех случаях связанных с PMTU Discovery Black Hole - добавление правила в mangle:
    698b053e67bc4ead8fe2378e23489005.jpgd20f2fd3dd354c9dbc1b2faa18dcf21a.jpg3a77533373964136ae30ac9fb807399b.jpg
    В поле src. address указываете вашу локальную подсеть, в out. interface - название вашего pptp-подключения.
    Ответ написан
    Комментировать
  • Как найти сервис в Uduntu?

    @rnqlover
    Попробуйте ps -aux | grep custom_service. И в линуксе "сервисы" называются "демонами" ;)
    Ответ написан
    1 комментарий
  • Чем отличаются nginx-extras, nginx-full, nginx-light и какой лучше ставить для доски обьявлений (типа aukro, olx)?

    nazarpc
    @nazarpc
    Open Source enthusiast
    Отличаются набором модулей в комплекте.
    В общем случае ставьте пакет nginx, он потянет за собой nginx-full по зависимостях, если будет недоставать модулей - всегда сможете поставить другой пакет.

    Light:
    STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Empty GIF,
    FastCGI, Map, Proxy, Rewrite.

    OPTIONAL HTTP MODULES: Auth Request, Charset, Gzip, Gzip Precompression,
    Headers, Index, Log, Real IP, SSL, Stub Status, Upstream.

    THIRD PARTY MODULES: Echo.


    Full:
    STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Browser,
    Empty GIF, FastCGI, Geo, Limit Connections, Limit Requests, Map,
    Memcached, Proxy, Referer, Rewrite, SCGI, Split Clients, UWSGI.

    OPTIONAL HTTP MODULES: Addition, Auth Request, Charset, WebDAV, GeoIP,
    Gunzip, Gzip, Gzip Precompression, Headers, HTTP/2, Image Filter, Index,
    Log, Real IP, SSI, SSL, Stream, Stub Status, Substitution, Thread Pool,
    Upstream, User ID, XSLT.

    MAIL MODULES: Mail Core, Auth HTTP, Proxy, SSL, IMAP, POP3, SMTP.

    THIRD PARTY MODULES: Auth PAM, DAV Ext, Echo, HTTP Substitutions, Upstream


    Extras:
    STANDARD HTTP MODULES: Core, Access, Auth Basic, Auto Index, Browser,
    Empty GIF, FastCGI, Geo, Limit Connections, Limit Requests, Map,
    Memcached, Proxy, Referer, Rewrite, SCGI, Split Clients, UWSGI.

    OPTIONAL HTTP MODULES: Addition, Auth Request, Charset, WebDAV, FLV,
    GeoIP, Gunzip, Gzip, Gzip Precompression, Headers, HTTP/2, Image Filter,
    Index, Log, MP4, Embedded Perl, Random Index, Real IP, Secure Link, SSI,
    SSL, Stream, Stub Status, Substitution, Thread Pool, Upstream, User ID,
    XSLT.

    MAIL MODULES: Mail Core, Auth HTTP, Proxy, SSL, IMAP, POP3, SMTP.

    THIRD PARTY MODULES: Auth PAM, Cache Purge, DAV Ext, Echo, Fancy Index,
    Headers More, Embedded Lua, HTTP Push, HTTP Substitutions, Upload
    Progress, Upstream Fair Queue.
    Ответ написан
    Комментировать