• Можно ли переключать моно/стерео звук в Windows 10 с помощью командной строки?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ответ написан
    Комментировать
  • Не могу подключиться по SSH к AWS. Что я делаю не так?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Давайте уточним что понятно из вашего вопроса:
    1. Вы пытаетесь подключиться к windows (поскольку при подключении к Linux нет этапа "расшировка пароля")
    2. Вы пытаетесь подключиться по SSH (или все же RDP?)
    3. Вам не удается расшифровать пароль инстанса "на лету", поскольку у вас зашифрован ключ

    Попробуйте следующее:
    1. ваш приватный ключ putty сконвертировать в Openssh без пароля
    2. удостовериться, что получившийся файл (открывается любым текстовым редактором) удовлетворяет условиям
    Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA PRIVATE KEY-----""
    То есть
    • есть эти фразы
    • отсутствует слово encrypted

    3. При расшифровке выберите этот файл.
    Ответ написан
    Комментировать
  • Какие права требуется настроить для копирования папок другого пользователя скриптом по сети?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    я бы порекомендовал подойти к проблеме с другой стороны.
    1. настроить общую сетевую папку чтобы пользователи(domain users) могли на ней создавать папки без наследования а права на вложенные папки были полные у creator owner и у домен админа ( и вас\вашей группы, если вы в домен админы не входите)
    2. написать скрипт(а лучше скрипты-однострочники - по одному на папку пользователя) используя robocopy на зеркалирование необходимых папок в эту общую папку из под учетной записи пользователя. Robocopy есть в составе win10\win7 а для windows xp - https://www.microsoft.com/en-us/download/details.a...
    Cмотрим ключи /mir /ZB - для мониторинга изменений можно использовать ключ /MOT:m
    ключ /TBD тоже, скорее всего, понадобится - у вас папка сетевая
    так же существует возможность более тонкой настройки - изучайте доступные ключи.
    на WinXP, возмжно, набор ключей будет отличаться, но основной функционал будет таким же
    3. Настроить запуск robocopy при входе пользователя в систему с рестартом задачи раз в, скажем, час (или реже, если включен режим мониторинга изменений)
    Идеально - по задаче на папку, но можно и один скрипт на все запустить, все равно колхозите
    Робокопи будет оставаться висеть в памяти и заниматься синхронизацией. На 6Тб файловых серверах на данный момент он отлично справляется с подобной синхронизацией с минимальным потреблением памяти. Рестарт задачи нужен на случай проблем.

    Плюс этого варианта в том, что копироваться будут те файлы к которым имеется доступ пользователя - исключены проблемы с правами. Если копирование не удается - значит доступ к файлу даже на чтение напрямую запрещен системой, то есть вы так и так его не скопируете.
    Сложность (минимальная) - в адекватной настройке самой сетевой папки куда все будет копироваться, иначе ее можно превратить не в зеркало пользовательских файлов а в файлопомойку где все имеют доступ везде.

    Совет: забудьте про cmd
    Совет на будущее: не колхозьте. У вас есть AD а значит и доступны сетевые папки пользовательских файлов с branch cache если это необходимо в случае плохого интернета между файловым сервером и пользователем
    Ответ написан
    Комментировать
  • Как переписать файл под Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    вообще в вашем коде присутствуют чисто линуксовые только две команды баша
    set -x что есть по сути дебаг режим - выводит команды которые баш выполняет
    set -e стоп скрипта если команду выполнить нельзя
    заменять их аналогами или просто выкинуть - решать вам.

    Остальное под виндой должно работать, если вы поставите docker desktop для windows

    поправить нужно будет:
    - переписать пути в командах docker cp на виндовые
    - возмжно нужно добавить шареные диски в docker desktop чтобы папки из которых копируете файлы в контейнер были доступны контейнеру (а может быть и не надо, я с docker cp практически не работал)

    Альтернатива:
    ставим git с git-bash
    и запускаем файл без изменений в этой оболочке.

    или включаем превью режим в винде и ставим WSL2, включаем в настройках докера использование WSL и работаем через подсистему Windows для Linux
    и точно так же без изменений файл используете
    Ответ написан
  • Как блокировать установку Viber на Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    https://remontka.pro/block-programs-run-windows/
    ссылка так себе, но вроде бы адекватно написано

    еще (и это в указанной статье упоминается) можно настроить software restriction policies через групповые политики
    Ответ написан
    Комментировать
  • Можно ли сделать Load Balancing in AWS если инстанс имеет только private IP?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Вообще с точки зрения безопасности крайне рекомендуется разделять сети, и держать приложения и их данные в подсетях к которым нет прямого доступа из интернета
    Например(тоже относительно рандомная картинка) SrHTd.png
    поэтому я бы дополнил ответ Иван Шумов так :
    При использовании AWS ELB,ALB или любого другого балансировщика внешней нагрузки (Haproxy,Nginx,etc..) лучше всего ваш VPC организовать так, чтобы все балансируемые сервера находились в приватных подсетях, а в публичной находился только балансировщик, NAT и VPN\Bastion
    В базовом случае(использование default VPC) можно ограничить прямой доступ к серверам, как и посоветовал Иван Шумов
    Ответ написан
  • Как изменить путь установки браузера Google Chrome на WINDOWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Как правило при такой формулировке хотят ускорить работу хрома - для этого достаточно переместить его юзердату
    просто запустите хром с ключом --user-data-dir d:/some-folder-for-chrome-user-cache
    https://peter.sh/experiments/chromium-command-line...

    Если же вы хотите переместить бинарник хрома - воспользуйтесь советами из этой статьи
    Ответ написан
  • Два SSL-сертификата на один домен и MITM с валидным сертификатом?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Для защиты от ситуации с двумя(и больше) сертификатами можно прописать в CAA DNS запись только те CA которым вы разрешаете выпуск сертификатов для вашего домена.
    Технически, от описанной вами ситуации это не защитит, но усложнит ее реализацию: если вы ограничите выпуск сертификата только определенными CA, то и злоумышленнику либо придется дописывать в ваш DNS запись для другого CA(того же LE) или выпускаться на разрешенном CA. А там этот домен зарегистрирован на вас
    Ответ написан
    Комментировать
  • Мониторинг процесса Windows с помощью Zabbix?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1.открываем perfmon.msc (не перепутайте с perfmon.exe - это немного другая программа.)
    2.в "системном мониторе" (сейчас под рукой руссифицированная ось, поэтому ищите аналогичное на английском, благо монитор по умолчанию там один) нажимаем "добавить счетчики"
    3. выбираем Process и ваш процесс, нужные метрики.
    Все это только для понимания "что" вы будете мониторить.
    теперь "как": идем и внимательно читаем:
    https://www.zabbix.com/documentation/4.2/ru/manual...
    https://www.zabbix.com/documentation/4.2/ru/manual...
    В последней статье ищем proc_info - это оно и есть
    Если есть какие то перфкаунтеры которых вы не нашли в заббикс - в 1й статье в конце есть как добавить нужные через user parameters

    Почему perfcounters а не WMI? Потому что обращение к WMI - довольно дорогая операция, часто не позапрашиваешь (а если залезть в глубины того что доступно через WMI - выяснится что там те же перфкаунтеры, облагороженные и обогащенные) - частое обращение довольно сильно жрет CPU
    Почему не сторонняя программа? Потому что Win уже собирает данные процессов и основная задача - добраться до них
    Ответ написан
    1 комментарий
  • VPN и маршрут по умолчанию?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если ваша OS - windows8/10 то вы можете на впн соединение повесить поднятие маршрута https://docs.microsoft.com/en-us/powershell/module...

    Так же, VPN, в зависимости от используемого софта может сам добавлять маршруты только на нужные сети - но делать это надо на сервере
    Ответ написан
  • На что сменить Forefront TMG?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Не стал добавлять теги самостоятельно, из вашего вопроса непонятны некоторые моменты
    исполняющий роль фаервола между локальной сетью и внешним миром
    добавьте тег proxy, вам насоветуют
    шлюза
    - теги routing, NAT
    DNS сервера для различных внешних и внутренних сайтов (которые так же проброшены через Forefront наружу)
    А вот тут непонятно, это только сервер DNS (который отвечает на днс запросы внешнего мира), перекрытие DNS(когда во внутренней сети и внешней сети доменные имена одной и той же зоны отвечают разными адресами) или вообще не имеет особого отношения к DNS - просто проброс сайтов в локальной сети\dmz наружу, для доступа через интернет - тег reverse proxy
    В Forefront напрямую заходят два провайдера снаружи
    - роутингом и переключением сетевых подключений по недоступности TMG занимается сам, вам нужно решение которое умеет это делать автоматически, верно?

    И финальный вопрос: вы хотите all-in-one или готовы смотреть на набор решений?
    К примеру, если брать набор разных решений для каждой ситуации на linux
    proxy - squid
    reverse proxy - nginx, haproxy
    DNS server - bind
    роутинг можно делать встроенными средствами OS, определение недоступности канала и переключение - скриптами.
    Ответ написан
    1 комментарий
  • Как установить сайт на ubuntu сервер на amazon ec2?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    ткну пальцем в небо:
    когда вы запускали (руками) инстанс - просто прокликали все next next next и по умолчанию добавилось правило launch-wizard-...... в которое есть правило для ssh(и оно работает, иначе как бы вы поставили nginx)
    sg которую вы демонстрируете - это default security group. То что она default - не означает что она ассоциирована с вашим инстансом. добавьте эту sg к вашему инстансу. Это раз
    Два: то что вы открыли порт в security group не означает что он открыт на самом сервере. проверьте правила внутреннего файрвола
    И вообще, сначала завалидируйте, что curl с localhost на самом инстансе отдает вам контент вашего сайта на том порту который вы ожидаете - может быть там приложение и не работает вовсе а вы чего то ждете
    Ответ написан
    Комментировать
  • Есть ли сервис по проверке версии TLS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    если хочется именно из консоли - устанавливайте openssl (для windows есть бинари собранные разными конторами https://wiki.openssl.org/index.php/Binaries)
    далее
    openssl s_client -connect <сервер>:<порт - в стандартном случае 443> и смотрите на вывод.
    Ответ написан
    Комментировать
  • Как обновить TLS до 1.2?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1. определить какое ПО у вас принимает ssl соединение.
    Это может быть балансировщик (haproxy, nginx, etc) или вебсервер(nginx, apache, etc..)
    2. отключить использование TLS ниже 1.2 или жестко задать использование tls 1.2(второе не рекомендуется, но возможно в некоторых случаях придется использовать)
    Для этого нужно исправить конфигурацию той секции, которая принимает внешние соединения по https.
    Я бы ориентировался на https://ssl-config.mozilla.org/ - конфигуратор от Мозиллы. Только не надо бездумно копировать то что там написано - нужно понимать куда и что прописывать. Этот конфиг генератор подойдет для дефолтных инстялляций или как справочный материал.
    Прежде чем делать что-то в следующих пунктах я бы сначала проверил какие версии tls поддерживает ваш вебсервер: натравите на него https://www.ssllabs.com/ssltest/ - он в репорте напишет какие версии TLS поддерживает ваше текущее ПО. Если там есть как минимум tls 1.2(и в идеале и 1.3) - значит можно обойтись настройкой, без обновления ПО

    3. В тяжелых случаях возможно потребуется обновить то ПО которое SSL соединение принимает.
    4. Или openssl либы на машине.
    5. Или обновить ПО с использованием либ последних версий openssl
    Ответ написан
    Комментировать
  • Что спрашивать у работодателя на собеседовании DevOps?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ваш вопрос к Devops не относятся ну совсем никак. И без девопса были и есть тренинги, процессы ревью, борьба с техдолгом, саморазвитие и хорошие отношения в коллективе
    Это обычные вопросы на любом собеседовании, к девопсу имеющие очень опосредованное отношение - но это хорошие вопросы

    я согласен с Пума Тайланд что это вы должны задать работодателю вопросы как обстоят дела в области в которой вы считаете себя компетентным(или пытаетесь быть компетентным)
    По области devops всегда можно спросить какие процессы уже автоматизированы (билд, тестирование, доставка, мониторинг, операции, etc.), какими инструментами, почему выбраны именно эти инструменты, насколько сильная будет поддержка(вы же джун судя по подписи) от команды в их изучении. Спрашивайте то что вам близко по уже имеющимся знаниям, чтобы не походить на "я спросил потому что мне на тостере так ответили" - чтобы сравнивать с уже имеющимся у вас опытом.

    А общие вопросы - их и надо задавать работодателю, независимо от области в которой происходит ваша рабочая активность
    Ответ написан
    Комментировать
  • Docker Multi-stage билды не видят друг друга?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если не изменяет память, промежуточные билды нужны для генерации артефактов, использующихся в следующих билдах. Например, когда вы не хотите весь builddep таскать за собой в финальный контейнер (вам там нужно уже собранное ПО) и плодить\чистить слои.
    Что в вашем случае лучше - даже и сказать не могу. Я бы изучил как собираются близкие по компонентам контейнеры на докерхаб
    Ответ написан
    Комментировать
  • Как подружить strongswan с Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    читайте документацию https://wiki.strongswan.org/projects/strongswan/wi...
    Наиболее вероятно, что вам поможет раздел AES-256-CBC and MODP2048
    В общем и целом, вам нужно установить такие настройки ipsec указанным коммандлетом, которые прописаны в вашем конфиге стронгсван.
    Ответ написан
  • Существует ли интерактивный ярлык папки в Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Добавлю еще один способ, если программа берет путь до "Мои Документы" из реестра а не пользуется жестко прошитым путем c:\users\user\documents\рабочая_папка_программы

    "Мои Документы" можно переместить на другой диск, полностью.
    Для этого открываем свойства папки "мои документы" и ищем вкладку "Расположение"
    Там можно указать новый путь, куда система переместит все текущие файлы из МД и будет использовать этот путь по умолчанию.

    Для решения задачи в том виде в котором вы ее описали способ dollar подходит больше. То что я написал - скорее альтернатива.
    Ответ написан
    1 комментарий
  • Сколько может стоить альтернатива обычному хостингу на AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Присоединюсь к Иван Шумов
    Даже если у вас есть потребность в переезде на AWS - вы все равно не сможете предугадать ваши траты, только очень и очень примерно. Жизнь в AWS - это когда каждый месяц смотрим на биллинг и "вот до сентября у нас не было столько межрегионального трафика, что ж мы в продукте такое взвели то.. на 2к баксов лишних"
    Ответ написан
    1 комментарий
  • Как уменьшить риски потери инфраструктуры при использовании Terraform?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Потерять можно все при любом действии и любым продуктом.
    Терраформ просто позволяет сделать это .. красиво и очень удобно, если вы хреново его спланировали.
    Правило 1: используйте автоприменение только в тех местах где не жалко или где вы железобетонно уверены(и берете риски на себя)
    Правило 2: валидируйте план. Хотя бы глазами
    Вообще, есть у некоторых людей практика делать план в файл, валидировать его какой то внешней логикой, и при успешной валидации применять план из файла, не просчитывая его заново (он делается при каждом апплае) с автоподтверждением. Мне не нравится, да и терраформ честно предупреждает что на момент реального применения ситуация может отличаться и менять придется совсем другие элементы.
    Правило 3: разноси элементы по логическим слоям, чтобы уменьшить зону поражения при гибельном апплае. Например настройки сети а одной папке со своим стейтом, запуск приложения - в другой. И связывайте через ремоут стейт. Главное соблюдать меру, чтобы каждую, скажем , security group в aws не создавать в отдельных слоях.
    Правило 4: используйте модули, если применение логической группы ресурсов используется более одного раза. Тут тоже не стоит плодить модули на каждый ресурс и подходить разумно.
    Правило 5: тестируйте изменения! (Используя одни и те же модули для стейжа и прода). Логично предположить что если вы снесли стейж то и прод снесется.
    Правило 6: используйте vcs для работы с кодом терраформ (для того чтобы откатывать код для восстановления убитого стейжа например)
    Правило 7: используйте lifecycle политики Prevent destroy на ресурсах, чтобы запрещать из убиение
    Помидор 7.1: используйте ignore changes там где это нужно
    Правило 8: используйте правильный инструмент для того что вы хотите сделать. Терраформ умеет много чего, но конфигурейшн менеджер он не заменит, хотя по функциям они чуть да пересекаются.

    В принципе, если продолжать я могу до штук 20 дойти полезных советов, но на 90% мои правила, по сути - используйте для работы с кодом терраформ те же правила что и для работы с любым другим кодом - снимете 70% проблем. Остальные будут связаны с особенностью работы терраформ и радиусом кривизны рук автора терраформ кода.

    P.S. пишу на ходу в метро, орфографию и пунктуацию правит т9. Спрашивайте, вдруг заметите какой нибудь термин, который я писать не собирался :D
    Ответ написан
    3 комментария