Задать вопрос

Евгений Хлебников

Cloud infrastructure, monitoring engineer. SRE
Лайки

  • Где в microsoft exchange 2013 где посмотреть может ли пользователь (почтовый ящик) отправлять письма на внешние почтовые адреса?

    @NortheR73
    системный инженер
    Для запрета внешней отправки используют транспортные правила Exchange
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно настроить сервер(а) для dev/test/prod?

    VoidVolker
    @VoidVolker
    Dark side eye. А у нас печеньки! А у вас?
    Все настройки ваших серверов сводятся к установке приложения gitlab-runner (либо настройке SSH для CI/CD сервера: т.е. CI/CD сервер подключается к целевому серверу по SSH/SFTP, копирует файлы и выполняет скрипты на целевой машине), а так же настройке требуемых зависимостей вашего проекта. Stage сервер настраивается идентично Prod серверу. Dev сервер настраивается для прямого доступа к нему со стороны разработчиков для отладки и дебага багов, не воспроизводящихся локально. В гитлабе настраивается CI/CD для деплоя через gitlab-runner или SSH, развертывается отдельный CI/CD сервер с приложением gitlab-runner и докером для запуска CI/CD задач и деплоя на серверы. Для каждой ветки настраиваются свои правила и ограничения деплоя под отдельные сервера. Итого у вас должно быть минимум пять серверов: гитлаб, cicd, dev, stage, prod. Плюс еще есть роль VPN сервера - эту роль вполне можно совместить с гитлабом. CI/CD - только отдельный сервер, ибо задачи штука ресурсоёмкая (компиляция, сборка, установка зависимостей и прочее). Еще очень полезная штука - кэширующий сервер для образов докера и пакеты (harbor - топ). Ускоряет работу задач и экономит трафик. Prod сервер может быть как сервером, так и группой серверов - prod-app, prod-db, prod-files и т.п. В идеале stage должен быть идентичной конфигурации, но обычно обходятся простыми виртуалками для экономии ресурсов, в отличии от prod сервера.
    Ответ написан
    Комментировать
    Комментировать

  • Как в корпоративной среде где 1000+ машин на Linux настраиваются политики авторизации и аутентификации?

    ky0
    @ky0
    Миллиардер, филантроп, патологический лгун
    Локальные учётные записи не делаются, всё рулится централизованно через AD/LDAP. Если каким-то внешним подрядчикам нужен админский доступ к определённым хостам - им выдаётся сетевой доступ только к этим хостам и они добавляются в группу, дающую sudo только на этой группе хостов.

    Локальные зеркала не делаются "определённых версий", и не выкачиваются целиком - это бессмысленно, т. к. PCI DSS, например, требует регулярного обновления пакетов. В каком-нибудь Нексусе настраивается проксирование официальных репозиториев с кэшированием пакетов - и вы получаете сразу все поддерживаемые версии и храните только те пакеты, которые используются.
    Ответ написан
    3 комментария
    3 комментария

  • Как организовать https между 2 серверами с nginx?

    IvanU7n
    @IvanU7n
    nothing interesting here
    в принципе всё верно, правда что такое "первая нога" и "вторая нога" не сразу понял
    для такого варианта какой-то сертификат для конечного nginx нужен, но какой именно неважно, ЕМНИП по умолчанию nginx не проверяет валидность сертификатов при proxy_pass на https

    можно ещё посмотреть на модуль stream и proxy-протокол, тогда проксирующий nginx будет тупо перенаправлять трафик и ничего расшифровывать и снова шифровать не будет, терминированием ssl-сессии будет заниматься конечный nginx
    у этого способа есть свои недостатки — порты на конечном nginx нужны отдельные чтобы принимать proxy-протокол, проксирующий nginx не будет ничего знать о доменах, т.к. по большому способу будет работать на уровне tcp
    Ответ написан
    2 комментария
    2 комментария

  • Портал для изменения паролей учётных записей AD?

    hint000
    @hint000
    у админа три руки
    Где-то обсуждали, но не уверен, что найду источник. Может даже на Хабр Q&A.

    В качестве такого портала можно использовать любую винду (1) в домене, (2) с включенным удалённым доступом (роль RDS не требуется), (3) с выключенным требованием NLA и (4) с выключенными для простых смертных правами на удалённый доступ. Все пункты существенные. Отключение NLA нужно, чтобы не отфутболивало пользователя с галкой "требовать смену пароля", либо с просроденным паролем. Отсутствие же прав на доступ нивелирует дыру, создаваемую отключением NLA. Фактически, простые смертные не смогут сделать ничего, кроме смены пароля, после чего пользователя выкинет.
    Ответ написан
    1 комментарий
    1 комментарий

  • Портал для изменения паролей учётных записей AD?

    ky0
    @ky0
    Миллиардер, филантроп, патологический лгун
    Всё уже придумано за вас:
    https://self-service-password.readthedocs.io/en/stable/
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать резервного-немного-разгрузочного микрота?

    b1ora
    @b1ora Куратор тега MikroTik
    Контакты в профиле
    Вам нужен VRRP
    Ответ написан
    1 комментарий
    1 комментарий

  • Почему в Python sqlite3 выводится из таблицы переменная вот так вот(3,)?

    @dim5x
    ЗИ, ИБ. Помогли? Поблагодарите. Отметьте ответом.
    cursor.fetchall() возвращает все строки в виде списка кортежей, отсюда и такая запись у вас. Вытаскивайте нужное из кортежа:
    der = [(57,)]
der_str = "\n".join([str(dollars[0]) for dollars in der])
print(der_str)

>>> 57
    Ответ написан
    Комментировать
    Комментировать

  • Почему в Python sqlite3 выводится из таблицы переменная вот так вот(3,)?

    Mike_Ro
    @Mike_Ro Куратор тега Python
    Python, JS, WordPress, SEO, Bots, Adversting
    fetchall() что возвращает? Вам же нужно вернуть данные по одному пользователю? Тогда используйте метод fetchone(), вместо fetchall():
    cursor.execute("SELECT dollars FROM users WHERE id=?", (message.from_user.id,))
res = cursor.fetchone()
if res:
    debet = res[0]
    await message.answer(f"Ваш айди: {message.chat.id}\nБаланс: {debet}")
else:
    await message.answer("Не знаем таких.")
    Ответ написан
    Комментировать
    Комментировать

  • Кто блокирует сертификат и что делать?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Вариант того, что если сертификат отозван, то он действительно отозван - не рассматривается я так понимаю? :-)
    Уверены, что это один и тот же сертификат на проблемной машине и остальных? Thumbprint сравнивали?
    Вангую, что на проблемную машину не прилетают обновления\не установилось обновление корневых сертификатов, а на остальные остановилось.
    Ответ написан
    2 комментария
    2 комментария

  • Как раздать интернет в другую подсеть внутри микрота?

    @Drno
    DNS назначается? NAT для VPN интерфейса включен?
    Вы уверены что не работает именно интернет, а не DNS ?
    Ответ написан
    1 комментарий
    1 комментарий

  • У меня есть 2 одинаковых сайта в разных точках мира, как мне сделать, чтобы пользователь заходит на тот сайт, который ближе к нему расположен?

    ky0
    @ky0
    Миллиардер, филантроп, патологический лгун
    Чтобы это работало без посторонних лиц, вам сначала придётся заиметь provider-independent адреса и начать их анонсировать из разных мест.

    Самый простой способ - прикрыться CDN, который это умеет из коробки, например, Cloudflare.
    Ответ написан

  • Reverse proxy и Mikrotik, как запустить?

    b1ora
    @b1ora Куратор тега MikroTik
    Контакты в профиле
    Указать какой внешний ip слушаем (если hairpin nat)
    Иначе можно указать интерфес wan

    В вашей ситуации вы ВЕСЬ трафик 443 порта заворачиваете из lan в lan
    Ответ написан
    1 комментарий
    1 комментарий

  • Поддерживает ли Windows 10 анимацию кликов мыши?

    @DrRen7
    Если не ошибаюсь то по умолчанию нет паттерна на анимацию клика, есть условные стили на разные действия(там обычная стрелка или ссылка, текст загрузка и тд). Да и если у вас демонстрация лучше скачать то что будет показывать кнопки, обычно там есть и анимация клика и обводка мыши и тд. Пользовался Keyviz где то год назад, там были клики и кнопки и если не надо то все выключалось
    Ответ написан
    Комментировать
    Комментировать

  • Как сравнить 2 df в Пандасе?

    Maksim_64
    @Maksim_64
    Data Analyst
    1. Если в колонке сборник (строки, числа, пропущенные значения). То это тип 'object'. Что означает python object что в свою очередь надо понимать буквально, массив состоит из python объектов.

    2. Операция сравнения двух объектов, не является однозначно трактованной операцией, в том числе и по этому в python существуют дандер методы которые позволяют переопределять операторы сравнения (вложить свой смысл что именно ты подразумеваешь по сравнением). Это я к тому что ты должен четко понимать что значит равны.

    pandas объекты поддерживают сравнение в его собственной интерпретации и поведении. Если этого достаточно
    то, все элементарно. Если сравнение используется для фильтра то такие колонки не хранят. 
    df = pd.DataFrame({
    'A':[1,'a',2],
    'B':[1,'a',3]
})

df.loc[df['A'] == df['B']]

    Колонкам не обязательно быть из одного и того же фрейма, лишь бы размерность совпадала.
    Если же нужно особое понимание сравнения. То пишется функция которая принимает два массива на вход и возвращает массив булевых значений, затем этот массив используется в качестве маски, для осуществления выборки.
    Ответ написан
    Комментировать
    Комментировать

  • Что лучше 993 SSL/TLS или 143 STARTTLS? В чём разница приниципиальная? Также что лучше 587 STARTTLS или 465 SSL/TLS?

    @NortheR73
    системный инженер
    Для чего это все? Задача какая?

    Ставил пользакам 143 STARTTLS.
    какой почтовый клиент?

    993 SSL/TLS или 143 STARTTLS
    это IMAP4, на Exchange он по умолчанию отключен, и без особой необходимости включать его не надо (так же, как и POP3)

    465 я так понимаю Exchange в принципе не поддерживает
    этот порт используется внутренними сервисами Exchange (Client Proxy Receive Connector)

    На тему портов есть официальный документ - Network ports for clients and mail flow in Exchange
    Ответ написан
    2 комментария
    2 комментария

  • ПК издаёт свистящие звуки на Astra Linux?

    @Zerg89
    Скорее всего проблема с материнской платой либо блоком питания, фазы питания свистят или конденсаторы, думаю проблема не в ос она просто пытается выжать максимум из железа и под нагрузкой проявляется тот эффект о котором вы говорите, чтобы проверить возьмите лайв сд и в ней сделайте стресс-тест желательно максимальный или параллельно запустить несколько тестов
    Ps это может и небыть неисправностью(и в таком режиме проработать очень долго) а просто железо работает на износ и дешёвые ключи фаз или конденсаторы подобраны впритык
    Ответ написан
    Комментировать
    Комментировать

  • Можно ли защитить 80 порт во время выпуска сертификата Let's Encrypt?

    SignFinder
    @SignFinder
    Wintel\Unix Engineer\DevOps
    Вопрос конечно странный, попахивает приличной паранойей.
    Но если у вас закрыт 80 порт, значит он не используется и вам стоит убрать то, что его использует и открыть, чтобы Lest Encrypt мог сам поднимать на нем временный веб сервер для валидации своих сертификатов.
    Это можно сделать - если вам действительно важно использовать http-01 challenge для подтверждения.
    НО у LE есть и другие способы валидации, не требующие 80 порта.
    Ответ написан
    Комментировать
    Комментировать

  • Docker + postgres как подружить?

    Wispik
    @Wispik
    В докере нет localhost. Вместо localhost надо название контейнера с postgeres написать
    Ответы на тостере я уже прочитал... И на SO тоже....

    по моему об этом в любом туториале про postgeres+docker написано
    Ответ написан
    5 комментариев
    5 комментариев

  • Как организовать обработку webhooks?

    VoidVolker
    @VoidVolker
    Dark side eye. А у нас печеньки! А у вас?
    Складывать их в какое-то хранилище и после манипуляций с апи crm обрабатывать или есть более подходящие решение?

    Да, складывать. Называется это "очередь". Используйте Redis, RabbitMQ и прочее.
    Ответ написан
    6 комментариев
    6 комментариев