Задать вопрос
  • Проверка реальности железа клиента зашедшего на сайт даже если потом заходит через эмулятор машины?

    На сайт могут заходить с ПК, потом сменить IP и зайти с эмулятора, и будет выглядеть будто это два разных человека.
    Такой ерундой мало кто страдает. Есть куча анонимайзеров, есть tor-браузер, есть ещё способы менять свой IP, которые намного проще и юзабельнее чем запуск эмулятора и попытка зайти с него.
    Ответ написан
  • Как грамотно организовать безопасность для веб-сервера на CentOS 7?

    1. Как должны быть распределены пользователи и группы nginx, php-fpm, проекта? (т.е. от кого процесс запускается, и кто в какую группу входит)
    Уже правильно распределены.

    2. Где правильно располагать папку проекта, под чьими правами и какие там должны быть разрешения для файлов и папок?
    Желательно отдельный выделенный радел, чтобы можно было понакрутить в параметрах монтирования всякие nosuid, nodev. Хотя и так сойдёт. Пользователь nginx или кто там ещё есть.

    3. Нужно ли отключать SELinux?
    Не нужно. Если умеешь его готовить, то всё остальное не нужно.

    4. Или я всё делаю неправильно и нужно использовать docker?
    Изоляция, которую даёт docker, не основная его функция.
    Ответ написан
    Комментировать
  • Как бороться с нагрузкой socket.io?

    1 Режим записи в логи socket.io - отладочный.
    2 Режим записи логов приложений (php-fpm,nginx,redis,node) - отладочный.
    3 Анализ логов socket.io.
    4 Анализ логов приложения (php-fpm,nginx,redis,node).
    5 Анализ других логов (maillog, messages, secure, auditd, какая у вас там база).
    6 Анализ загрузки системы (htop, iotop, ...).
    7 Замена ОС на более свежую со стабильным ядром, стабильными приложениями, стабильными обновлениями.
    8 Профилирование ОС под соответствующий тип нагрузки.
    9 Профилирование приложений под соответствующий тип нагрузки.
    10 Тестирование под нагрузкой каждого приложения и всего сервера в целом.
    11 Планирование переезда на выделенный сервер. С нормальным железом. У тебя может быть жадный сосед, который садит нещадно ресурсы. Может ты и есть тот самый жадный сосед, поэтому админы прикрутили твои возможности. Может быть жадный хозяин VDS и вы там сражаетесь между собой за недостающие ресурсы.

    Смотреть в сторону докера или LXC бесполезно. Особенно в случае с виртуалкой.
    Ответ написан
  • Как защитить от ddos по tcp/udp?

    Как защитить свои сервера от от элементарных ddos атак по tcp/udp?
    Смотря какой они интенсивности. Если атака на канал или на протокол, то сетевые фильтры ОС не помогут.

    Есть ли бесплатные решения для защиты своими средствами без привлечения посторонних организаций?
    Был во последнем релизе FreeBSD какой-то инструмент для борьбы с этой напастью. Только этот способ особенно бесплатным не назовёшь: нужно покупать дополнительно сервера, настраивать ПО, поддерживать.

    Как защитить от ddos по tcp/udp?
    Есть Cloudflare с интересными предложениями и самой распределённой системой фильтрации.
    Ответ написан
    Комментировать
  • Апач останавливается по неизвестным причинам, как выследить "убийцу"?

    1 Режим записи в логи апача - отладочный
    2 Режим записи логов приложения (если оно есть) - отладочный
    3 Анализ логов апача
    4 Анализ логов приложения (если оно есть)
    5 Анализ других логов (maillog, messages, secure, auditd, какая у вас там база)
    6 Анализ загрузки системы (htop, iotop, ...)
    Ответ написан
    Комментировать
  • Как направить траффик с внутренней сети на 127.0.0.1:1090 под win7?

    Хочу соорудить сетевой экран. Для этого используется машина под win7 с двумя сетевыми картами.
    Вот это зря.

    Есть приблуда, которая организует прокси с адресом 127.0.0.1:1090 внутри машины.
    Не совсем понятно зачем использовать прокси на петле обратной связи, для функционала межсетевого экрана. Это как бы немного другой уровень сетевого стека.
    Ответ написан
    Комментировать
  • Какие IT системы должны быть в IT университете?

    ... Перепишите всё что есть ... на Сях, чтобы летало.
    Ответ написан
    Комментировать
  • Как правильно распределять трафик на сервера?

    Есть IP на который идет куча пакетов данных
    Куча - это сколько pps?

    На данный момент если ложится эта программа или сервер на котором находится программа, то проект полностью накрывается медным тазом
    Расследование, почему постоянно при повышении нагрузки программа ложится, было? Источник отказа найден? Виновный наказан?

    Вопрос - как сделать этот центральный узел более надежным?
    Как это реализуется в больших проектах?
    В больших проектах, где шишки уже набиты и мазоли натёрты, в первую очередь думают о высокой доступности, надёжности, масштабируемости и безопасности, а не о CD/DI, системах автоматизации чего всего подряд, докере и всяких новомодных фичах.
    Смотри, пробуй нормальный баллансировщик.
    Ответ написан
    4 комментария
  • Странная распиновка коннектора витой пары Почему?

    Знакомый изначально провод 100% не переобжимал. Так завел провайдер.
    Страдают такой фигнёй некоторые провайдеры последней мили. Хреначат какую-то свою хитрую систему обжимки. Она меняется от провайдера к провайдеру.

    С чем может быть связана такая интересная схема?
    Чтобы, когда какой-нибудь умник полез со своим кабелем обжатым стандартно, у него ничего не вышло. Типа защиты через неясность.
    Ответ написан
    Комментировать
  • Как закрыть полностью UDP?

    А зачем? Забивают канал UDP трафиком? Тогда не поможет.
    Ответ написан
    Комментировать
  • Как собрать список всех подсетей?

    Стоит задача, зашифровать трафик до сбербанка отдельным каналом
    Какая разница, какими путями пойдёт зашифрованный трафик? Тем более пути могут меняться по несколько раз за минуту.

    дабы быть спокойным
    Если в канале будут передаваться персональные данные, то применять можешь только разрешённое ФСТЭК и ФСБ шифрование. Иначе спокойствия не видать.

    возможно ли разом собрать этот список?
    Как собираешься влиять на маршрут движения пакета между тобой и сбером? Это очень важный вопрос.
    Ответ написан
    3 комментария
  • Что нужно для создания отказоустойчивого кластера?

    1 Смириться.
    2 Кластер - группа стандартных серверов, подключённых друг к другу по высокоскоростной сети и снабжённых специальным ПО, которое позволяет направлять их ресурсы на решение единых задач /каноническое определение/.
    3 Из определения следует, что существует минимум три источника отказа: серверы, сеть, специальное ПО. Вероятности отказов, которых перемножаются со всеми вытекающими.
    4 Теорема CAP
    5 Из всего этого следует, что выбрать выбирать надо что-то одно:
    CA во всех узлах данные согласованы и обеспечена доступность, при этом она жертвует устойчивостью к распаду на секции;
    CP в каждый момент обеспечивает целостный результат и способна функционировать в условиях распада, но достигает этого в ущерб доступность;
    AP не гарантируется целостность, но при этом выполнены условия доступности и устойчивости к распаду на секции.
    6 По опыту. Если решишь сделать кластерную ФС, чтобы избавиться от многих подводных камней, будь готов, что она когда-нибудь рассыплется. Это не панацея.
    7 Довольно много кластеростроителей забывают или забивают на требование высокопроизводительной сети. Там не просто должен быть 1 ГБ/с, там должен быть минимум 1 ГБ/с, агрегация интерфейсов и нормальный хардовый коммутатор с большим и высокоскоростным кэшем, минимальными задержками. Но лучше 10 ГБ/с. Это довольно дорогое удовольствие.
    Ответ написан
    Комментировать
  • Как оптимизировать MySQL под 6-8гб ОП?

    Если у тебя:
    server's role - production
    dedicated server
    type of workload will this server - OLTP
    type of storage - HDD RAID
    CPUs does your system - 4
    memory does your server - 6 GB
    operating system - Linux
    tables will you - 100
    MySQL server version - 5.6
    preferred storage engine - InnoDB
    variant of MySQL - MariaDB
    thread cache - 50
    key buffer - 32 MB
    connection limit - 250

    конфиг примерно следующий
    [mysql]
    # CLIENT #
    port = 3306
    socket = /var/lib/mysql/mysql.sock

    [mysqld]
    # GENERAL #
    user = mysql
    default-storage-engine = InnoDB
    socket = /var/lib/mysql/mysql.sock
    pid-file = /var/lib/mysql/mysql.pid

    # MyISAM #
    key-buffer-size = 32M
    myisam-recover-options = FORCE,BACKUP

    # SAFETY #
    max-allowed-packet = 16M
    max-connect-errors = 1000000
    skip-name-resolve

    # DATA STORAGE #
    datadir = /var/lib/mysql/

    # BINARY LOGGING #
    log-bin = /var/lib/mysql/mysql-bin
    expire-logs-days = 14
    sync-binlog = 1

    # CACHES AND LIMITS #
    tmp-table-size = 32M
    max-heap-table-size = 32M
    query-cache-type = 0
    query-cache-size = 0
    max-connections = 250
    thread-cache-size = 25
    open-files-limit = 65535
    table-definition-cache = 1024
    table-open-cache = 2048

    # INNODB #
    innodb-flush-method = O_DIRECT
    innodb-log-files-in-group = 2
    innodb-log-file-size = 256M
    innodb-flush-log-at-trx-commit = 1
    innodb-file-per-table = 1
    innodb-buffer-pool-size = 4G

    # LOGGING #
    log-error = /var/lib/mysql/mysql-error.log
    log-queries-not-using-indexes = 1
    slow-query-log = 1
    slow-query-log-file = /var/lib/mysql/mysql-slow.log
    Ответ написан
    2 комментария
  • За что отвечают и для чего нужны ldap, kerberos, winbind и sssd?

    для чего нужны и за что отвечают: ldap, kerberos , winbind,sssd ?
    AAA (Authentication Authorization and Accounting) в той или иной степени.
    Ответ написан
    Комментировать
  • Есть в свободном доступе официальная сборка PostgreSQL от 1С х32 Linux?

    Называется MSSQL. Уже есть оный под Линукс.
    Ответ написан
    Комментировать
  • Почему при скачивании чего либо, скорость интернета маленькая, хотя в тестах показывает большую?

    Подлючен "Домашний интернет Beeline". Тариф 100 Мбит.
    Где? Скорость между твоим хостом и шлюзом провайдера?

    На SpeedTest до местных серверов показывает в среднем 70-80 Мбит на прием. (и то это в лучшем случае). Обычно чуть ли не в 2 раза меньше.
    До других рандомных серверов показывает в 8-10 раз меньше в среднем на прием, а на отдачу еще меньше.
    Должно ли так быть или провайдер что то мудрит?
    Это за пределами сети провайдера. Там может происходить всё что угодно.

    PS. В поддержку звонил, сказали что все норм...мда
    Оу. Там иначе быть не может.
    Ответ написан
    Комментировать
  • Шифрование гостевых ОС на ESXi 6?

    Есть ли смысл шифровать виртуальные машины, если сам ESXi незашиврован
    Рассуждай сам. Взяли и просто клонировали твою систему. Пароль привилегированного пользователя перебить достаточно просто. Хотя это делать не нужно. Нужны определённые данные: файлы приложения, база данных, логи - это всё стаскивается с диска довольно легко. Теперь считай потери от того что твои данные полностью ушли.

    может получить доступ к зашифрованной виртуальной системе
    По идее нет. Но самолично хочу это перепроверить.

    Если у кого есть опыт, подскажите, насколько падает производительность гостевой системы?
    Давно это было. На те года падение было в районе от 15% до 35%. Многое зависит от того как приложения работают с диском.
    Ответ написан
  • Насколько хорошо backend разработчик должен разбираться в Linux?

    Для этого есть специальный специалист - Devops у него хороший задел должен быть в системном администрировании.
    Ответ написан
    Комментировать
  • Ошибка соединения с сервером postgresql?

    Не дружит рельс с 10-й версией. Пройденный этап. Ставь версию постгреса 9.6.
    Ответ написан
    Комментировать