Задать вопрос
  • Как перемонтировать раздел в home?

    @younghacker
    mkdir /home/user/second_drive
    mount /dev/sdX[0-9] /home/user/second_drive

    либо внесите в /etc/fstab чтобы он монтировался при старте системы.
    только не забывайте про права
    Ответ написан
    Комментировать
  • Как пробросить порты с VLAN?

    @younghacker
    ip_forward включили?

    # cat /proc/sys/net/ipv4/ip_forward

    iptables/nft forward цепочки смотрели?
    Ответ написан
    Комментировать
  • Какую систему мониторинга выбрать?

    @younghacker
    Для такой простой задачи "как ругаться когда нет пинга" и фиксированных условий раз в 5 минут - bash скрипт в cron :)

    навскидку первый попавшийся:
    https://github.com/gleb108/ping-monitor
    для минимализации докер я бы выбросил.
    Ответ написан
    7 комментариев
  • Если злоумышленник узнаёт мою сид фразу от Ethereum кошелька, то я не смогу её сменить?

    @younghacker
    Другими словами если вы "спалили" seed фразу, то нужно как можно быстрее создать новую, и на новый полученный кошелёк перекинкть все средства со старого. Но необходимо помнить о стоимости транзакций.
    Ответ написан
    2 комментария
  • Как узнать к какой программе принадлежит процесс, запускаемый из папки TEMP?

    @younghacker
    Попробуйте утилиты sysinternals, нужно поймать процесс который пишет в эту папку.
    Как вариант если у вас виндовс не HomeEdidtion можно запретить запуск приложений из папки TEMP (software execution policy или Applocker) и смотреть какой процесс заявит об ошибке. Посмотрите в логи.
    Ответ написан
    Комментировать
  • GPO. Почему не выполняется скрипт PowerShell в Startup на части хостов в сети?

    @younghacker
    1) руками он отрабатывает на всех машинах?
    2) политика применяется для всех машин?
    3) права для запускающего пользователя?
    4) запрет на выполнение неподписанных скриптов?
    5) что видно в логах?
    Попробуйте заменить скрипт чем-то более тривиальным cmd сценарием который создаёт файл в %TMP%.
    Ответ написан
    2 комментария
  • Пропадает пинг в тоннеле в сторону сервера Wireguard?

    @younghacker
    Как я понимаю целевой сервер не ваш.

    Пинганите одновременно
    - внешний IP WireGuard сервера
    - и IP гейта на другом конце туннеля (полагаю тот что вы пинговали)

    Сравните разницу.
    Если есть значительная разница есть (пинг снаружи быстрее и не пропадает) и сервер не ваш - выберите другой сервер. Этот просто не справляется. Хотя возможен и вариант DPI пакостей от провайдера.
    Если разницы почти нет, и пинги пропадают даже снаружи то поменяйте целевой сервер и/или провайдера.
    Или сделайте "сервер проставку" между вами и целевым сервером.
    Ответ написан
    Комментировать
  • Существует ли способ сделать TCP/UDP прокси (или NAT) так, чтобы конечная машина видела IP адрес источника?

    @younghacker
    Как предложили ранее, попробуйте OpenVPN в udp режиме.
    Для ускорения отклика уменьшите размер буферов приёма и передачи, и отключите сжатие.

    Что касается реальных адресов подключаючихся машин на целевой машине - вам будет необходимо на стороне целевой машины за NAT обеспечить возврат пакетов обратно в VPN туннель. А для этого вам нужно будет использовать default gateway в сторону туннеля либо статические роуты (если вы знаете адреса приходящих клиентов)

    Далее на стороне VPN сервера с публичным IP куда подсоединяются клиенты нужно будет настроить порт форвардинг (DNAT) на адрес vpn интерфейса целевой машины. Тогда пакеты приходящие на целевую машину будут иметь реальный айпи посетителя.

    C Wireguard не имел опыта, но почему-то кажется что вам достаточно правильно настроить DNAT на VPN сервере и роутинг по умолчанию на целевой машине и вы получите реальные адреса клиентов на целевой машине.
    Ответ написан
    Комментировать
  • Куда по умолчанию ставится php 7.4 centos 7?

    @younghacker
    С помощью команды
    rpm -qa | grep -i 'php\|http\|apache\|nginx'
    вы узнаете какие пакеты php, nginx, ahache установлены в системе.

    Команда
    sudo netstat -nlptx | grep -i 'php\|http\|apache\|nginx\|80\|443'

    должна показать unix сокеты и прослушиваемые tcp порты.
    Должен быть установлен пакет net-tools.

    Дальнейшие действия будут по результатам этих команд.

    PS.
    И не нужно играться с make и исходниками если вы делаете первые шаги в Linux. Все пакеты необходимые для вебсервера можно найти в репозиториях и команда yum install - друг большинства пользователей CentOS.
    Ответ написан
    Комментировать
  • Если цель свалить в другую страну и там работать программистом, нужен ли диплом для визы?

    @younghacker
    Например мне без разницы есть ли у вас диплом, титул и профильные сертификаты.
    Когда я провожу собеседование то каждое слово в вашем резюме проверяется соответствующими вопросами по теме.
    Самое важное на мой взгляд:
    - Вы должны обладать знаниями, желанием работать и рвением учиться.
    Если этого нет - мы не сработаемся даже если у вас есть три профильных диплома и докторский титул.

    Как получить ответ на ваш вопрос самостоятельно
    Я бы не сильно полагался на вакансии с требованием знания русского языка. Поэтому полагаю что как минимум английский язык вы знаете на уровне общения по вашему профилю. Вам нужно будет проходить собеседование по телефону, скайпу и другим средствам IP коммуникации.
    Подготовьте шаблон резюме (CV) и сопроводительного письма;
    Их нужно будет править при рассылках в разные компании (адаптировать под вакансию).
    • Сделайте анкету в линкедин;
    • Найдите там людей по вашему профилю;
    • Посмотрите как выглядят их анкеты;
    • Подстройте вашу анкету;
    • Поищите вакансии по вашему профилю;
    • Стройте свою сеть. Найдите HR из этих компаний и других и добавьте их в контакты;
    • Добавляйте также ваших колег. В живые и растущие компании часто требуются дополнительные специалисты и ваш коллега посоветует вашу кандидатуру, так как он получит бонус если вы останетесь в компании после испытательного срока;
    • Приготовьте ответ на вопрос об ожидаемой зарплате. Учитывайте грязную и чистую ЗП, а также сколько это в месяц или в год. Помните о аренде жилья. Где-то есть сайт который позволяет сравнить потребительские корзинки в разных странах и городах;
    • Установите статус что ищите работу (помните что и ваш отдел кадров узнает об этом);
    • Добавьте пару-тройку поисковых тригеров на вакансии;
    • Откликайтесь на вакансии;
    • Ведите и анализируйте журнал откликов, реакций, и т д.
    • Программист? Оформите github репозиторий и добавьте ссылку в CV и анкету на линкедин. Хорошо бы вносить вклад в какой-то OpenSource проект (иногда это прямо пишут в требованиях к вакансии);

    Кроме линкедин есть много других достойных сайтов.
    Есть также рекрутинговые компании заточенные под IT специалистов.

    Непрерывно получайте недостающие профильные знания (вы их найдёте в анкетах других специалистов)
    И дополняйте свою анкету и резюме.


    Я встречал только то, что высшее образование с подтверждением требуется в основном только на senior или менеджерские позиции. И даже в этом случае очень часто эквивалентом образования признаётся опыт работы по профилю от 5-ти лет.

    PS.
    "Свалить в другую страну" - не очень конкретная цель, которая после переезда может вылиться в большое разочарование. За рубежом "вагон и маленькая тележка" своих проблем которые могут перевесить причины переезда. Также есть большая вероятность выбрать не ту страну и даже не тот город для переезда.

    PPS.
    А вот для получения "голубой карты" в Европейские страны профильный диплом нужен. С другой стороны "голубая карта" это просто более лёгкий способ войти на европейский рынок труда и быстрее получить статус ПМЖ. Но рабочая виза - универсальный вариант, который не требует профильного высшего образования, и не ограничивается зарплатой снизу (впрочем IT-шников это не касается, у них зарплаты выше минимума).
    В некоторых странах студенческая виза даёт право работать. Эдакий вариант подучиться по профилю и работать.

    PPPS.
    У меня есть живой пример где в англоязычной компании работает программист без профильного диплома и даже без знания разговорного английского языка. К нему приставлен переводчик. Просто программист очень хороший. :)
    Ответ написан
    1 комментарий
  • Чем реально на работе занимаются безопасники?

    @younghacker
    Совершенно недавно компания Symantec опубликовала результаты исследования которые указывают на выгорание специалистов по информационной безопасности. В исследовании проведены опросы руководителей и менеджеров ИБ отделов. И это показывает положение в отрасли в целом. С учётом желания автора поста в профессиональном росте думаю это будет полезно знать. Второе что стоит знать - зарплаты. Смотрите банковскую сферу. Но за пределами России. Хотя с банковской сферой есть одна сложность. Для работы в ИБ некоторых европейских банков требуется европейское гражданство. Обычно это пишут прямо в вакансии.
    5d83238bb790c625444387.png
    Гуглить вот это: High Alert: Tackling Cyber Security Overload in 2019
    Ну и если реально работать безопасником - то нужно учиться непрерывно. Количество угроз растёт.
    Ответ написан
    Комментировать
  • Почему при подключении к серверу-донору VPN показывает настоящий IP?

    @younghacker
    Александр,
    Если Вам необходимо спрятать сам факт подключения к серверу по ssh то Вам нужно на сервере настроить iptables так чтобы он разрешал соединения на ssh порт если пакет приходит на tun+ интерфейс.
    -A INPUT -i tun+ -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -m comment --comment "Accept all connections from tun interface"

    И затем после подъёма vpn соединения с OpenVPN клиента подключайтесь на адрес ssh root@10.10.15.1 - судя по вашему конфигу это должен быть адрес tun интерфейса вашего OpenVPN сервера.

    Несколько замечаний по топику:
    DNS Leak отягощённый VPN с единственной точкой входа и выхода.
    Или на более понятном языке - ваш провайдер, особенно хостинг, может видеть шифрованный и нешифрованный трафик одновременно. И как результат - получить ключики шифрования.
    SSH трафик на внутренний IP - исключение. Его не увидят ни хостинг ни интернет провайдеры (при условии что последний не контролирует ваш роутер).
    Также помним, что Win10 рассылает DNS запросы со всех интерфейсов несмотря на роуты. Fedora через другие нероутные интерфейсы тоже рассылает запросы на порт 80. Поэтому тонкая настройка файрвола необходима даже там.
    Ответ написан
    2 комментария
  • Как в Zendesk использовать в поиске оператор OR?

    @younghacker
    Вроде бы OR работает только со свойствами если их перечислить многократно.

    If submitting multiple search terms, search has a default AND behavior, rather than an OR behavior. For example, searching for the following phrase returns results only if all of the words are present, in any order.

    However, when you use a data property keyword multiple times in a query, there is an OR search across the values you specified. The following phrase returns results that contain either the tag "silver" or the tag "bronze".

    tags:silver tags:bronze

    https://support.zendesk.com/hc/en-us/articles/203663226

    Обходной путь - получить тикеты через API.
    Ответ написан
    Комментировать
  • Как настроить стабильный доступ к сетевым ресурсам за VPNом Mikrotik?

    @younghacker
    Картинка - сотни слов дороже!!!

    Включение отключение интерфейса в винде на какое-то время решает проблему, но потом эта хрень повторяется.

    Какое отношение интерфейс винды имеет к туннелю?

    Какая логика/схема маршрутизации? Default gate у микротиков - два? У каждого свой?

    Что происходит на микротиках в плане CPU/RAM/traffic/количество сессий ?
    Что происходит с пингом из офисных сетей в инет и на внешний IP противоположного офиса?
    А что с пингом на оба внешних IP из интернета?
    Ответ написан
  • Как заставить *.vk.com идти напрямую в обход VPN-сервера?

    @younghacker
    Мне нравится этот парень! :)
    Люди ведут борьбу за то чтобы ни один пакет не "пролился" мимо VPN, и тут находится смельчак который хочет в обход VPN загрузить html страницу с сотнями "поводков" собирающими информацию о посетителе.

    О структуре вашей сети ничего не известно поэтому буду импровизировать.

    • Выключить VPN - всё нормализуется само собой. :)
    • Удалить маршрут по умолчанию через VPN, перестать "PUSH-ить" его с сервера.
    • Поднять VPN сервер у себя в сети :)
    • Поднять у себя в локалке прокси. Настроить в браузере прокси. Если вдруг это будет другая подсеть то нужно прокинуть статический маршрут до прокси чтобы он был доступен с устройства.
    • Запустите в локалке машину с браузером. Подключайтесь к нему через RDP или VNC из iOS
    • есть несколько других способов но в разрезе iOS даже не знаю применимы ли они


    Прописать маршрут в обход не получится. Вернее получится но криво. На любой html странице прилетает куча ссылок "поводков" в разные места интернета, осложняется всё ещё и тем что страницы динамические никогда не знаешь что на следующем запросе тебе пришлёт сервер.

    Можно вопрос? Зачем Вам VPN ? Ответить можете в телеграме, конечно если у Вас он работает.
    Ответ написан
    Комментировать
  • Как отслеживать изменения в СУБД при конкурентной записи?

    @younghacker
    Навскидку я бы сделал маленькую табличку "очередь репликации" и тригерами из других таблиц в неё заносил бы данные.
    ID - записи первичный ключ
    TimeStamp - время внесения изменений (возможно избыточное, непонятно будут ли изменяться записи уже изменённые)
    TableID - идентификатор таблицы источника изменений
    RecordID - идентификатор записи из таблицы источника
    md5sum - контрольная сумма изменённой записи (всех полей) опциональное.

    На этой табличке тригера генерируют события.
    Внесено изменение - генерируете событие NEW_WORK_FOR_REPLICATOR_! ;)

    Событие запускает обработчик (репликатор) который выгребает из этой таблицы все данные. И реплицирует все записи подряд из таблиц которые здесь зарегистрировались. При успешном экспорте запись в таблице удаляется. Если скорость изменений в базе небольшая то и таблица будет небольшая. Основную часть времени будет пустовать.

    Получится что транзакция по успешному завершению создаст запись в этой вспомогательной таблице.
    Запись сгенерирует событие. На событие прибежит репликатор экспортирует запись источник и если всё окей - прибъёт запись в этой таблице. Количество записей в ней вернётся в норму. Для застаревших записей в репликаторе можно сделать сборщик мусора который использует контрольную сумму которая позволит проверить есть ли эта запись в целевой таблице при экспорте если в какой-то момент до удаления записи вдруг произошла остановка базы источника либо репликатор завис или был убит (в жизни всегда есть место oomkill). При этом сборщик мусора сделает запись в бортовой журнал для отчётности. :)

    Можно также обойтись и без событий. Пустая таблица селектится быстро поэтому можно мониторить часто. А если в таблице есть записи - значит есть работа для репликатора. Тогда не придётся писать логику игнора событий во время работы репликатора.

    Транзакции - ReadCommited.
    Ответ написан
    Комментировать
  • Как заходить только на 1 ип через OPENVPN?

    @younghacker
    В конфиге сервера у вас опция требовать от клиентов HMAC во время "рукопожатия":
    tls-auth ta.key 0 # This file is secret

    В конфиге клиента она закоментирована:
    ;tls-auth ta.key 1

    По логике работы этого ключа VPN сервер должен выбросить пакеты без должного HMAC без дальнейшей обработки. Соответственно VPN не должен подняться. Ключ в конфигах должен быть с обеих сторон, либо закоментируйте с обеих сторон (не рекомендуется).

    Посмотрите логи на клиенте и на сервере.
    Попробуйте пингануть сервер 10.8.0.1 (пинг должен быть разрешён в файрволах)
    Посмотрите появился ли интерфейс и роут на клиенте.

    P.S.
    Но вашу формулировку задачи, с утра, на сонную голову - я не понял.
    Качество вопроса определяет качество и точность ответов. :)
    Ответ написан
  • Как создать субдомен с именем пользователя в качестве имени поддомена?

    @younghacker
    Для того чтобы в глобальной системе DNS у домена появился поддомен нужно его создать.
    Поддомен прописывается в NS серверах которые обслуживают данный домен.
    Как универсальный вариант для всех возможных поддоменов можно использовать одну запись *
    А вот дальше нужно настроить ваш вебсервер так чтобы он правильно делал то что вам нужно.
    либо делал сайт виртуально (играемся с переменными домашними каталогами и php)
    либо для каждого поддомена должен быть создан домашний каталог и vhost с соответствующим именем FQDN.

    Но имейте ввиду. Если инстанс веб сервера который обслуживает сайт будет запускаться с одинаковыми привилегиями для всех поддоменов/сайтов то все смогут пройтись по всем сайтам
    apache apache - dilik.site.com
    apache apache - pilik.site.com
    apache apache - vilik.site.com
    apache apache - zhulik.site.com

    php процесс запущенный вебсервером сможет прочитать и список каталогов и все доступные для чтения файлы внутри.
    Ответ написан
    Комментировать
  • Почему на tun0 не присваиваются IP адреса?

    @younghacker
    Похоже что VPN клиенту не дают настроить сеть.

    Проверьте состояние SELinux
    getenforce
    После запускать клиента посмотрите от кого он стартанул.
    ps -afxuZ | grep openvpn

    Включите на клиенте более детальные логи
    verb 6
    Ответ написан
    Комментировать
  • Как сделать reload службе dhcpd, apache или любой после обновления конфига которая работает в кластере pacemaker не мигрируя ее на другую ноду?

    @younghacker
    Вы сами почти ответили на свой вопрос
    systemctl reload httpd
    systemctl reload dhcpd
    systemctl reload haproxy

    Именно reload, а не restart
    Предварительно проверьте синтаксис соответствующего конфига чтобы демон смог их загрузить.
    А то из-за отсутствующего IP или SSL сертификата он может свалиться, что неприятно.
    Оригинальные конфиги всегда должны быть под рукой.
    Ну и ноду не перепутайте. :)
    Ответ написан
    Комментировать